[ON] Сопровождающий libxml2 отказался от особого отношения к устранению уязвимостей

[rssbot]

Ник Велнхофер (Nick Wellnhofer), сопровождающий библиотеку libxml2, объявил, что отныне будет трактовать уязвимости как обычные ошибки. Сообщения об уязвимостях не будут рассматриваться в приоритетном порядке, а станут исправляться по мере появления свободного времени. Информация о сути уязвимости будет размещаться в публичном доступе сразу, не дожидаясь формирования патча и распространения исправления в дистрибутивах и операционных системах. Ник также снял с себя полномочия сопровождающего библиотеку libxslt и высказал сомнения в том, что найдётся кто-то готовый взять на себя её поддержку.



В описание проекта libxml2 добавлено примечание, указывающее на то, что библиотека написана энтузиастами, сопровождается одним добровольцем, плохо протестирована, написана на языке, небезопасно работающем с памятью, содержит множество уязвимостей и не рекомендована для обработки не заслуживающих доверия данных. Сообщения о проблемах с безопасностью предписано отправлять через штатную публичную систему отслеживания ошибок, и они будут обрабатываться как любые другие ошибки. За закрытыми дверями уязвимости больше устраняться не будут и все имеющиеся сведения о проблемах с безопасностью сразу будут публиковаться в открытом доступе, независимо от требований по неразглашению до заданной даты и без откладывания раскрытия информации до релиза.


Предполагается, что переход к обработке уязвимостей как обычных ошибок даст возможность Нику сосредоточиться на основной работе над libxml2, не прерываясь на внеплановые задачи. В текущем виде Нику приходится тратить несколько часов в неделю на обработку сообщений об уязвимостях и подготовку патчей, что создаёт достаточно большую нагрузку с учётом того, что сопровождение осуществляется на голом энтузиазме.


Отмечается, что скрытие сведений об уязвимостях до публикации обновлений и метрики типа OpenSSF Scorecard лишь попытка крупных компаний вызвать у сопровождающих чувство вины и заставить работать бесплатно. Предъявление дополнительных требований к сопровождающим-волонтёрам, работающим без компенсации, названо пагубной практикой.


По словам Ника, библиотека libxml2 не обладает уровнем качества, пригодным для использования в браузерах и операционных системах. Тем не менее, крупные компании, такие как Apple, Google и Microsoft, стали использовать libxml2 в своих операционных системах и продуктах. Подобные действия названы безответственными, а проводимая работа - попытками избавиться от симптомов, а не устранить причину проблем. По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2.







Источник: https://www.opennet.ru/opennews/art.shtml?num=63437
(opennet.ru, основная лента)

[yoricI]

Вот и последствия OpenSource. Держаться боле нету сил ® 30 лет крепились

[Bizdelnick]

Кажется, он просто хочет, чтобы кто-то из перечисленных компаний оплачивал его работу. В принципе, резонное желание, но жаль, что ради этого ему приходится идти на такой некрасивый шантаж.

[ormorph]

Кажется, он просто хочет, чтобы кто-то из перечисленных компаний оплачивал его работу. В принципе, резонное желание, но жаль, что ради этого ему приходится идти на такой некрасивый шантаж.

Какой нафиг шантаж? Он на халяву работает, а ему ещё требования предъявляют, что он ещё кому то что то должен. Просто уже вконец обнаглели, типа ты должен делать хорошо. Правильно говорит: хотите хорошо, то платите или делайте сами. Кому что он ещё должен?
Вот пример, тут люди за занятие СПО деньги получают, причём даже студенты. Это тоже шантаж? Кстати они нужную сумму уже собрали, причём очень быстро.

[Aliech]

Вот и последствия OpenSource. Держаться боле нету сил ® 30 лет крепились

Не. Причём тут последствия Open source? Это простое следствие монополизации экономики, когда корпорации умудряются даже частным производителям... даже тем, с кем у них нет финансовых отношений... диктовать, как и что им делать. В данном случае - через репутационные риски, мол мы вашу либу используем, так что будьте любезны вести дела так, как нам удобней.

Почему? Потому что мы вашу либу используем, и если вы будете рыпаться, то нанесёте вред нашим пользователям! Вы же не хотите быть уродом и наносить вред пользователям?

Ту часть, где они сами эту либу стали поставлять пользователям, конечно, предлагается не вспоминать.

Кажется, он просто хочет, чтобы кто-то из перечисленных компаний оплачивал его работу. В принципе, резонное желание, но жаль, что ради этого ему приходится идти на такой некрасивый шантаж.

Почему шантаж то? Это его шантажируют и принуждают к работе тем, что держат в заложниках пользователей, которым поставили (не он ставил) его библиотеку.

[sunjob]

... все имеющиеся сведения о проблемах с безопасностью сразу будут публиковаться в открытом доступе, независимо от требований по неразглашению до заданной даты и без откладывания раскрытия информации до релиза...

[Bizdelnick]

Какой нафиг шантаж? Он на халяву работает, а ему ещё требования предъявляют, что он ещё кому то что то должен. Просто уже вконец обнаглели, типа ты должен делать хорошо. Правильно говорит: хотите хорошо, то платите или делайте сами. Кому что он ещё должен?

Шантаж — это не когда кому-то что-то должен, а когда угрожаешь сделать или, наоборот, не сделать нечто, если тебе чего-то не дадут.

[ormorph]

Шантаж — это не когда кому-то что-то должен, а когда угрожаешь сделать или, наоборот, не сделать нечто, если тебе чего-то не дадут.

Какой же это шантаж. Когда шантаж это когда он несёт определённую угрозу, вред. А тут он сам поддерживает проект, можно сказать просто делится своими наработками, а ему ещё требования предъявляют. Кроме того он не угрожает, а просто предупредил, что теперь будет так. Это называется что его просто это всё достало. То что они решили использовать это ПО, сугубо их проблемы, кроме того в лицензии указано что это ПО распространяется как есть. Представте если ему на это идёт спонсорство, а в результате их действий складывается ощущение что он не хорошо выполняет свою работу, как результат ему кукиш. В данном случае как раз вред идёт ему, как моральный, так и возможно материальный. Так кто в данном случае кому делает вред и шантажирует?

[Bizdelnick]

Когда шантаж это когда он несёт определённую угрозу, вред.

Угроза безопасности пользователей, вроде бы, налицо. И репутации тех, кто использует библиотеку в своих продуктах, соответственно, тоже.

В данном случае как раз вред идёт ему, как моральный, так и возможно материальный.

Так я разве спорю?

Так кто в данном случае кому делает вред и шантажирует?

Конкретно шантажирует — он.

[ormorph]

Угроза безопасности пользователей, вроде бы, налицо. И репутации тех, кто использует библиотеку в своих продуктах, соответственно, тоже.

Так почитайте лицензию, там о безопасности ни кто не говорит. Как раз проблемы безопасности на пользователях. Ну и при чём тут он, если информация об уязвимостях появляется только после релизов, когда уже ни чего не исправишь. Он просто теперь уведомил, что информация о уязвимостях теперь не будет скрываться, т.е. будет ясно что она появилась до или после релиза. Публикует информацию о уязвимостях то не он, а претензии все к нему. Так же как правильно он заметил, что проект свободный, и исправления может вносить любой. По этому какие претензии к нему. Он тоже не всё может знать об уязвимостях.