[ON] 79% встроенных в код сторонних библиотек никогда не обновляются

[azsx]

За голословное обвинение в систематическом вранье.

Не понимаю что тут не так. Я не писал, что надо игнорировать реальные проблемы.
Я как и прежде не считаю, что фф 52 еср актуален и востребован, он немного устарел. Кстати, в той теме ТС также понял, что ситуация безвыходная. Да и к чему это всё, Копилов же верно написал, полный оффтопик. Вы тупо пытаетесь выкрутится. Можно просто быть честным.

Ещё чуть-чуть, и Вы поймёте смысл моего сообщения

Никогда его не пойму. Это ваш девиз, вы живите со своим девизом.

держитесь подальше от ИТ

зы
Ещё мне понравилось. Задача обозначена.

Ну вот задача, срочно надо разобрать dom модель разных веб страниц. Варианты.
Качаем библиотеку https://sourceforge.net/projects/simplehtmldom/files/simplehtmldom/ которая (о ужас) старая как вся моя жизнь и ни у одного параоика тест на "безопасность" не пройдёт.
Пишем сами. Думаю пары недель хак марафона хватит, чтобы отдых только на еду, сон и поспать. Ловим кучу багов, зато свои!
Нанимаем банду кодеров, они за пару месяцев выдадут вполне хороший код, всё будет работать.
Но беда, по факту код с этой библиотекой нужен был вчера. А через неделю вдруг окажется этот код ваще в проекте был не нужен, нечего рефакторить, его выпилят или в худшем случае просто бросят.

ваш ответ.

Не выдадут. В данном примере использование библиотеки куда более оправданно в том числе и с точки зрения безопасности.

ну всё правильно, всё честно. Затем угрозы, вы же модератор, вы можете забанить за свои слова.

Вам ещё одно предупреждение за заведомо ложную информацию выписать?

Вдруг становится понятно, что надо раскрыть мысль. Ну да, я же изначально писал теоретически, вы же изначально писали что библиотека более оправдана. Потом забаните, сейчас надо словами поиграть.

Я не говорил, что взял бы именно эту библиотеку

Ещё раз моё мнение. Плохо быть модератором unixforum и выгонять людей из it. Я бы стерпел враньё, если бы от вашего сообщения была польза. Но у вас тупо ваш девиз:

держитесь подальше от ИТ

[Bizdelnick]

Я не писал, что надо игнорировать реальные проблемы.

Вы объявили реальные проблемы «теоретическими» из чего сделали вывод, что их можно игнорировать. Это то же самое, только одним неверным логическим шагом больше.

не считаю, что фф 52 еср актуален и востребован, он немного устарел

Вы не писали про версию 52, Вы писали про ESR вообще. Его актуальная версия — 78.11. И если есть желание обсудить предупреждение — с этим в личку.

Остальной бред не комментирую, потому что на большую часть уже отвечал, прочее же очевидно абсурдно. И в очередной раз делаю вид, что не заметил перехода на личности.

[Kopilov]

И в очередной раз делаю вид, что не заметил перехода наличности.

Не казначеи мы, чтобы переходы наличности контролировать

[ormorph]

Тут говорится об использовании библиотек. Можно подумать, узкоспециализированное ПО их не использует.

Это не значит, что все вункции в этих библиотеках является уязвимыми и эту уязвимость можно реализовать на таком ПО. Ну и иногда одно лечат, другое калечат в новых библиотеках и вместо одной уязвимости можно получить несколько, особенно часто такое можно увидеть, когда применяются довольно большие ратчи изменений. Один кто то внесет, потом все толпой исправляют.

[azsx]

Вы объявили реальные проблемы «теоретическими» из чего сделали вывод, что их можно игнорировать

Я писал теоретические, а вы за меня дописали "реальные". Сейчас выясняется, что я подменил понятия. Я так не писал, это враньё, я понятия не подменял, мало того -- я пример привёл. Но важно другое, я не поддерживаю ваш лозунг.

держитесь подальше от ИТ

Вы не писали про версию 52, Вы писали про ESR вообще.

Тема была про alsa и даже вы там вопрос задавали, как это на 78 версии алса запустили. Всё там было понятно, с кем обсуждать предупреждение? Вы и так всё знали.

Остальной бред

Лучше в ваших глазах писать "бред". Зато не врать ради лозунга.

держитесь подальше от ИТ

[Bizdelnick]

Ну и иногда одно лечат, другое калечат в новых библиотеках и вместо одной уязвимости можно получить несколько, особенно часто такое можно увидеть, когда применяются довольно большие ратчи изменений.

в 69% случаев уязвимости были устранены в корректирующих выпусках, не связанных с изменением функциональности.

[ormorph]

в 69% случаев уязвимости были устранены в корректирующих выпусках, не связанных с изменением функциональности.

Я уже нарывался на такую беспочвенность, когда собирается все линкуется, но не работает. Возвращаешься к старой библиотеке все работает. А интерфейс не изменился, линковка проходит удачно. Что бы разобраться в чем дело может уйти уйма времени, особенно если код состоит из множества кусков разных разработчиков.

[Bizdelnick]

Я уже нарывался на такую беспочвенность, когда собирается все линкуется, но не работает. Возвращаешься к старой библиотеке все работает. А интерфейс не изменился, линковка проходит удачно.

Во-первых, как написано, это точно не касается 69% рассмотренных случаев. Во-вторых, без подробностей все эти «обновилось и сломалось» неинтересны. В каждом случае есть конкретная причина, если Вы в ней не разобрались, — значит, Вы не разработчик, а пользователь, а новость про разработчиков. В-третьих, Вы используете Gentoo, где принято полностью обновляться но новые версии. В некоторых же дистрибутивах портируют только отдельные исправления, и таких поломок, как правило, не происходит.

[ormorph]

В каждом случае есть конкретная причина, если Вы в ней не разобрались, — значит, Вы не разработчик, а пользователь, а новость про разработчиков.

А там разбираться не особо тяжело, в чем дело. Так же методы с таким названием присутствуют, но возвращают они совсем другие объекты, которые на определенном приведении к другому типу просто ломают все. А что бы разобраться в чем дело нужно прослеживать всю цепочку, ну и да нужно быть хозяином того куска кода чтобы знать точно как он работает. А проследить всю цепочку в C++ довольно тяжело. Это момент когда ООП делает не плохую шутку с разработчиками(на оборот усложняет разбирательство), особенно когда создатель этого куска кода умыл руки из проекта.

[Bizdelnick]

Так же методы с таким названием присутствуют, но возвращают они совсем другие объекты, которые на определенном приведении к другому типу просто ломают все.

Это и называется изменением интерфейса. А Вы пишете

интерфейс не изменился

И если такое происходит без изменения версия библиотеки, это однозначно баг. До стабильных дистрибутивов такие не доходят, отлавливаются раньше. Хотя обычно и до релиза не доходят.

[ormorph]

И если такое происходит без изменения версия библиотеки, это однозначно баг.

Такое часто случается например в libpqxx, при этом версия везде будет 7.x.x, но изменения довольно значительные. Гдето они могут не проявиться, а где то могут проявиться.

До стабильных дистрибутивов такие не доходят, отлавливаются раньше.

Именно по этому как правило в стабильных дистрибутивах используется до сих пор версия 6.x.x.
Ну при этом утверждается что новые библиотеки более безопасные.

Это и называется изменением интерфейса.

Метод тот же самый, возвращает тот же самый тип, но бывает в классе возвращаемого типа убрали оператор приведения типа, либо добавили новый, который предыдущий в определённых условиях перекрывает.
Как правило если человеку просто нужен рабочий инструмент, он именно включает библиотеку в состав проекта, а не занимается подстраиванием новых библиотек под свой проект, чтобы не заниматься его поддержкой.

[Bizdelnick]

Такое часто случается например в libpqxx, при этом версия везде будет 7.x.x, но изменения довольно значительные.

Значит, лесом идёт такая библиотека с пионэрами-разработчиками. Это далеко не худшее, что они там могут натворить.

Метод тот же самый, возвращает тот же самый тип, но бывает в классе возвращаемого типа убрали оператор приведения типа, либо добавили новый, который предыдущий в определённых условиях перекрывает.

И это тоже изменение интерфейса.

Как правило если человеку просто нужен рабочий инструмент, он именно включает библиотеку в состав проекта, а не занимается подстраиванием новых библиотек под свой проект, чтобы не заниматься его поддержкой.

Если нет желания заниматься поддержкой проекта, не надо его и начинать.

[ormorph]

И это тоже изменение интерфейса.

А вы уверены что те кто делал это исследование на столько глубоко копали когда делали такие выводы?
Как правило как раз и смотрят наличие метода, тип объекта который он возвращает и аргументы. Ну и одно дело исправление работы с памятью и т.п. которые улучшают библиотеку. А совсем другое удаление, либо добавление безопасных функуий, где вместо функций с неопределённым количеством аргументов используются функции с объектами в качестве аргументов, так как принято считать что они более безопасные, обычно они просто добавляются как дополнительные. Кажется что все тоже самое, но иногда как раз такое изменение приводит к печальным результатам, при наличии перезагрузки функций. Вот и получается наружняя оболочка та же самая, а вот под капотом может быть ещё тот зоопарк.

Если нет желания заниматься поддержкой проекта, не надо его и начинать.

Если нужен рабочий инструмент который не нужно переделывать, то ни кто за тебя это не сделает. А вот то что человек ещё решил поделиться своими наработками, то зачем его в чем либо обвинять? Если кому не нравится что то почему бы не сделать форк и переделать проект если так не нравится решение разработчика, если конечно лицензия это позволяет.

[Bizdelnick]

А вы уверены что те кто делал это исследование на столько глубоко копали когда делали такие выводы?

в корректирующих выпусках, не связанных с изменением функциональности.

Описанное Вами никак не подходит под определение корректирующего выпуска, то есть с инкрементацией третьей части номера версии при семантическом версионировании. Или и такое Вам встречалось?

[ormorph]

Или и такое Вам встречалось?

Встречалось, но это было в ветке разработчика, а она нестабильная.

в корректирующих выпусках, не связанных с изменением функциональности.

Ну так тем более кажется маловероятным такое исследование. Т.е. чтобы просмотреть пару тысяч проектов и в каждом проверить версию включенного кода библиотеки. Если бы этот код добавлялся модулем в проект GIT, я бы поверил, что такое было бы легко отследить. Если только не брались для примера проекты у которых где то под сотню форков и все они брались под гребенку. Корректирующие выпуски выходят довольно часто, по этому временной промежуток должен быть не очень большой отведенный на исследование.

[Bizdelnick]

это было в ветке разработчика, а она нестабильная.

Какой смысл их рассматривать вообще? Люди в здравом уме используют стабильные релизы. Если только им не нужны распоследние фичи, но в таком случае они понимают, на что идут.

Ну так тем более кажется маловероятным такое исследование. Т.е. чтобы просмотреть пару тысяч проектов и в каждом проверить версию включенного кода библиотеки.

В результате сканирования 86 тысяч репозиториев

Сканирование подразумевает автоматизацию. У конторы, которая на этом специализируется, соответствующие инструменты должны быть довольно неглупыми.

[ormorph]

Сканирование подразумевает автоматизацию. У конторы, которая на этом специализируется, соответствующие инструменты должны быть довольно неглупыми.

Ага, и по этому чтобы прочитать их отчёт, необходимо зарегистрироваться у них на сайте, по сути стать их клиентом.

[Bizdelnick]

Ну да. Не просто ж так они этим занимаются, а ради рекламы.