Vlákno názorů k článku
Mobilní i desktopové aplikace mají v 70 % případů bezpečnostní chyby v open-source knihovnách od Filip Jirsák - téměř všechny současné aplikace používají ke svému...

téměř všechny současné aplikace používají ke svému běhu nějaké open-source knihovny právě proto, že nemusejí danou funkcionalitu vyvíjet sami, ale důsledkem je ona přítomnost chyb
To je ale špatná implikace. Chyby by tam byly, i kdyby ty knihovny nebyly open source. A kdyby se nepoužívaly knihovny, ale vývojáři si daný kód napsali sami, bude tam ještě víc chyb, než když se použijí ty knihovny. Protože na těch knihovnách je typicky odpracováno víc, než kolik by tomu věnoval tým, kdyby si to psal sám.

Na to, že knihovny nejsou bez chyb, je potřeba upozorňovat. Stejně tak na to, že je potřeba knihovny také správně používat. Ale to výše uvedené vyjádření je prostě nesmysl.

hlavně díky open source se ty chyby hledají daleko lépe než v cloused source. Tyhle čísla není možné porovnávat.

Díky open source se ty chyby daleko lépe opravují a je snazší pochopit jejich příčinu (a třeba se jim vyhnout). Na hledání těch chyb prakticky nemá vliv to, zda je knihovna open source nebo uzavřená – pro hledání bezpečnostních chyb nejsou zdrojové kódy potřeba.

Možná nejsou potřeba, ale můžou pomoct. Když vidím dovnitř do zdrojového kódu, snáze chybu odhalím. Nebo si všimnu nestandardního chování a tak se podívám, co to ve skutečnosti dělá.

Tuto špatnou implikaci ve zprávě nevidím. Řekl bych, že ji tam přidal autor zprávičky. Možná to je jen názor autora zprávičky, ale jak je jeho zvykem, neodděluje své názory od zdrojů.

Nikdo snad ale netvrdí, že v closed-source knihovnách chyby nejsou.

Veracode se rozhodl prozkoumat ty open source knihovny právě proto, že jsou zdrojáky k dispozici k analýze. Vydal zprávu o stavu, nabízí nástroj k řešení. Podle mě docela dobrá věc. Pro closed-source to k dispozici není, neřešil bych, zda je nebezpečnější používat OS knohovny nebo ne, ale jak to udělat, aby to co nejbezpečnější bylo.

Ve zprávičce (v původní zprávě jsem to nenašel) je napsáno, že důsledkem používání open source knihoven je přítomnost chyb v aplikacích. Ve skutečnosti je to ale přesně opačně – díky tomu, že se používají knihovny, je těch chyb v aplikacích méně.

Ja som tú správu čítal v angličtine , ale tak, že tam bolo pridané dve slovâ

Mobilní i desktopové aplikace mají v 70 % případů bezpečnostní chyby v STARYCH VERZIÂCH open-source knihoven.

Já jsem se – vzhledem k tomu, kdo je autorem zprávičky – záměrně vyjadřoval jenom k přesné citaci ze zprávičky a ne k tomu, co je v původní zprávě (kde jsem takové tvrzení nenašel, ale nečetl jsem to celé).

Až takhle kategoricky bych to netvrdil, ale při dostupnosti zdrojáku se to snáz testuje a chyby se snáz hledají a opravují, a v neposlední řadě se do toho může pustit víc lidí. IMO klíčové je to slovo MŮŽE.
Tedy ne že v closed source chyb musí být automaticky víc, ale 1) je sice těžší je najít, a hlavně 2) když tam jsou, je daleko větší opich je opravit :-)