بازرس متن باز کیست؟!

[Vahid_PC]

به فرض مثال و محال ، کونیکال با CIA همکاری داره و توی چندتا از ابزار پیشفرض مثل مرورگر و پلیر و مدیریت فایل و.... کد های جاسوسی مخفی اضافه کرده و داره از همه کاربران جاسوسی میکنه. متن بازه دیگه راحته. حالا سوال اینه که وقتی نسخه جدیدی از اوبونتو میاد بیرون ، چه کسی یا کسانی صحت و سالم بودن این سیستم عامل کد باز رو بررسی میکنن ، اصلا کسی این کار رو میکنه ، یکی دو خط کد که نیست بحث میلیون ها خط کده ، نه فقط اوبونتو حتی بقیه توزیع ها مثل مینت دبیان فدورا سوسه و .... و نه فقط سیستم عامل بلکه بقیه نرم افزار های متن باز رو می خوام بدونم ، خیلی وقته برام سواله.

[Masoud92m]

جدا از کد، تقریبا همه ی ما پکیج های باینری رو دانلود میکنیم، و دیگه سورس هم موجود نیست !

[Vahid_PC]

یعنی زرشک؟!!

[jackshepherd]

چاقو هیچ وقت دسته خودشو نمی بره.
ببین دوست عزیز این طور بگم که همه ما می دونیم که سرعت نور چه قدره.نیازی نیست که تک تک افراد دنیا خودشون ازمایش کنند تا درستی سرعت نور رو بفهمند(البته ابزارهاش هست)ولی مردم دنیا به دانشمندان اطمینان دارند و می دونند که درست می کنند واگه روزی خلاف این برای دانشمندان ثابت بشه با جرات به همه مردم دنیا اعلام میکنند.
متن باز هم همین طور.شما به همه (منظورم همه) قسمت های سیستم دسترسی دارید.شاید من و خیلی های دیگه علم کافی و یا وقت کافی برای بررسی کد ها رو نداشته باشند ولی به افرادی که متخصص این کار هستند اطمینان می کنند.برای اولین بار که با دنیای متن باز اشنا شده بودم(سال 1389) حدود 400,000 هزار نفر به طور مستقیم رو نرم افزار های ازاد کار می کردند(الان به احتمال زیاد بیش تر از این رقم هستش.)این افراد و کاربران عادی هر کدوم بازرسان متن باز هستند.(چشم ها هر چه قدر زیاد تر باشند چاله ها کم عمق ترند.)

[کیهان]

چاقو هیچ وقت دسته خودشو نمی بره.
ببین دوست عزیز این طور بگم که همه ما می دونیم که سرعت نور چه قدره.نیازی نیست که تک تک افراد دنیا خودشون ازمایش کنند تا درستی سرعت نور رو بفهمند(البته ابزارهاش هست)ولی مردم دنیا به دانشمندان اطمینان دارند و می دونند که درست می کنند واگه روزی خلاف این برای دانشمندان ثابت بشه با جرات به همه مردم دنیا اعلام میکنند.
متن باز هم همین طور.شما به همه (منظورم همه) قسمت های سیستم دسترسی دارید.شاید من و خیلی های دیگه علم کافی و یا وقت کافی برای بررسی کد ها رو نداشته باشند ولی به افرادی که متخصص این کار هستند اطمینان می کنند.برای اولین بار که با دنیای متن باز اشنا شده بودم(سال 1389) حدود 400,000 هزار نفر به طور مستقیم رو نرم افزار های ازاد کار می کردند(الان به احتمال زیاد بیش تر از این رقم هستش.)این افراد و کاربران عادی هر کدوم بازرسان متن باز هستند.(چشم ها هر چه قدر زیاد تر باشند چاله ها کم عمق ترند.)

و حتی اگه کوچکترین چیزی مثل این می‌بود غول‌های متن‌بسته بشدت می‌کوبیدنش

[احسان☺]

چاقو هیچ وقت دسته خودشو نمی بره.
ببین دوست عزیز این طور بگم که همه ما می دونیم که سرعت نور چه قدره.نیازی نیست که تک تک افراد دنیا خودشون ازمایش کنند تا درستی سرعت نور رو بفهمند(البته ابزارهاش هست)ولی مردم دنیا به دانشمندان اطمینان دارند و می دونند که درست می کنند واگه روزی خلاف این برای دانشمندان ثابت بشه با جرات به همه مردم دنیا اعلام میکنند.

راستش ربط مثال(چاقو) رو متوجه نشدم.
راجع به دانشمندان هم ممکنه بر نفعشون(یا برنفع قدرتمندان) باشه که مردم ندونن.اونوقت قضیه پیچیده تر میشه.

ــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
اما در حالت کلی میشه گزینه ها رو بررسی کرد:۱:برنامه ای که کدش رو نداریم.۲:برنامه ای که کدش رو داریم.
ممکنه حتی گزینه دو عالی و بی نقص نباشه ولی قطعا بین اون دو تا برای ما مصرف کننده از نظر امنیتی اطمینانش خیلی بیشتره و بهترین گزینه هستش.شاید بشه توی متن کد بعضی برنامه ها یه جوری یه کد مخرب بذارن ولی بخاطر ریسک کار احتمالش خیلی خیلی خیلی کمه.
بهترین راه همون دستکاری متن و ارائه به صورت دو دویی هستش که بازم ما خودمون متن رو داریم و در صورت عدم اطمینان میتونیم کامپایل کنیم.

[jackshepherd]

راستش ربط مثال(چاقو) رو متوجه نشدم.

قبول دارم یه کم نامفهوم بود.منظورم این بود که بهترین هکرها و برنامه نویس های دنیا, گنو/لینوکس رو نوشتند و توسعه می دند.و به نوعی لینوکس بهشت برنامه نویس ها و هکرها هست.اگه مشکلی پیش بیاد(مثلا nsa از یه حفره امنیتی کشف نشده لینوکس استفاده کنه)در کم ترین زمان ممکن مثلا چند این مشکل فیکس میشه در حالی که الان بیش از 20 مورد حفره کشف شده تو ie هستش که ماکروسافت فیکس نکرده.(حالا زیرو دی های کشف شده محصولات ماکروسافت به کنار)

[!]

خب منطق میگه وقتی رو باینری ها نظارتی اگه نیست (نمیدونم) پس دلیلی بر اعتماد کامل هم وجود نداره اما خب قائدتا متخصصین امنیت کنترل زیادی رو بسته ها دارند و به همین راحتیا نمیشه ابزار جاسوسی ساخت.البته دولتها خبیث تر از این سطحن.

راستش ربط مثال(چاقو) رو متوجه نشدم.

قبول دارم یه کم نامفهوم بود.منظورم این بود که بهترین هکرها و برنامه نویس های دنیا, گنو/لینوکس رو نوشتند و توسعه می دند.و به نوعی لینوکس بهشت برنامه نویس ها و هکرها هست.اگه مشکلی پیش بیاد(مثلا nsa از یه حفره امنیتی کشف نشده لینوکس استفاده کنه)در کم ترین زمان ممکن مثلا چند این مشکل فیکس میشه در حالی که الان بیش از 20 مورد حفره کشف شده تو ie هستش که ماکروسافت فیکس نکرده.(حالا زیرو دی های کشف شده محصولات ماکروسافت به کنار)

کمترین زمان ممکن همیشه کمترین زمان ممکن نیست. خونریزی قلبی اوپن اس اس ال هنوز تو خاطره هاست.

[بخند]

همین حفره openssl شما ببین چندوقت پنهان بود . ایا با این وحود که متن باز بود کسی‌ حفره رو دید؟  به نظر من یکی ازدلایل متن باز نبودن همین بحث‌باشه البته اسنودن هم خیلی چیزارو لو داده مثل بازی های انلاین راستی سورس ابونتو کجاست؟ یعنی کامپایل کنیم ایزو بده؟

[سوزه]

به چند دلیل بعیده فرد یا شرکتی اینکارو بکنه:

۱-داشتن مجازات قانونی، مسلما قانون برخورد شدیدی با اون فرد یا شرکت می‌کنه، مجازات مالی و زندان.
۲-از دست رفتن آبرو و اعتبار.
۳-اگر نرم افزار متن باز باشه احتمال پیدا کردن کد مخرب خیلی خیلی بالا میره.
۴-کسانیکه نرم افزاری را متن باز منتشر می‌کنند معمولا به آرمانهای فلسفه متن باز و آزادی معتقند و خیلی بعیده در یک نرم افزار متن باز اینکارو بکنند.

تا حالا چند بار شده توی یک نرم افزار متن باز کد مخربی از قصد گذاشته بشه؟! اگر نمونه‌ای سراغ دارید ممنون می‌شم بگید.

[Vahid_PC]

بحث تخریب اعتمادمون به چیزهایی که بهشون اعتماد کردیم نیست ، من فقط نمیخام پشت میزم بشینم و تو خیال خودم بگم "آره بابا حتما بررسیش کردن مگه الکیه"!....
حرف های دوستان هم درباره جامعه متن باز دلگرم کنندست اما دلیل نیست. تازه اگر هم قرار باشه جاسوسی و یا تخریبی اضافه بشه به کد ، به چیزهای خیلی جلو چشم مثل هسته لینوکس یا سورس فایرفاکس که نمیزنن که همه ببینن.
حتی ممکنه مثلا به یه بسته که خود توسعه دهنده توزیع توش نقشی نداره و دستی نمیبره بزنن مثلا میگم کدک ها ، بعد مثلا کونیکال هم بیاد بزارتش توی سافتویر سنتر به صورت باینری.
 
از طرفی هم این انتظار از جامعه توسعه دهنده متن باز که بخوان علاوه بر کار خودشون بررسی کد رو هم انجام بدن کمی زیادیه ، هرچند جایی خوندم به هسته BSD تا توسط چند نفر کدی صحتش تایید نشه چیزی اضافه نمیشه ، اما میشه برای اطمینان بیشتر از روش های دیگه مثل توزیع هایی که برنامه ها رو از روی سورس کامپایل و نصب می کنن استفاده کرد. اگه دوستان این توزیع ها رو میشناسن لطفا معرفی کنن چه بی اس دی چه لینوکس.
اما در کل من انتظار داشتم و دارم که حداقل چند موسسه خصوصی هم که شده در سطح دنیا این کار رو در قبال متن باز انجام بدن و اگر این چنین نباشه اعتماد من نسبت به متن باز به شکل محسوسی تغیر میکنه که این اصلا چیزی نیست که من و امثال من بخوایم....

[QSBuntu]

کمترین زمان ممکن همیشه کمترین زمان ممکن نیست. خونریزی قلبی اوپن اس اس ال هنوز تو خاطره هاست.

توذهنمون اینم هست که خیلی زود و کمتر از 48ساعت برطرف شد... (البته 24ساعت توذهنمه ولی 48 رو گفتم ک مطمئن باشم)

همین حفره openssl شما ببین چندوقت پنهان بود . ایا با این وحود که متن باز بود کسی‌ حفره رو دید؟

+1

راستی سورس ابونتو کجاست؟ یعنی کامپایل کنیم ایزو بده؟

کرنل رو فکر کنم تو این سایت بشه پیدا کرد ولی خب بازم +1

[Masoud92m]

توی کرنل اصلی لینوکس هم حباب های باینری وجود داره، حتی وقتی سورسش رو دانلود میکنید ! به همین علت لینوکس لیبره به وجود اومد که کاربرانش نسبت به لینوکس اصلی بسیار ناچیزه .

نمیشه هم گفت به خاطر آبرو و اعتبار یا مجازات قانونی همه چیز خوبه چون خیلی از بد افزار قابل دیدن نیستن که مثلا یکی نشست چندین میلیون خط کد رو خوند و پیداش کرد، ممکنه به صورت باگ امنیتی باشه از طرف توسعه دهنده باشه (همونطور که در مورد openssl هم بیان شد)، و پیدا کردن باگ هم به این راحتی ها نیست مسلما تازه پیدا هم بشه باگ بود دیگه !!! کسی رو به خاطر باگ مجازات نمیکنن.

امنیت یه چیز کاملا نسبیه و این که فکر کنیم توی گنو/لینوکس همه به فکر امنیت ما هستند کلا غیر واقعی هست، تمام چیز هایی که شنیدید قبلا و دوستان هم بیان کردن، فقط امنیت بیشتری رو نسبت به سیستم عامل های بسته ایجاد میکنه، نه امنیت 100٪

[Vahid_PC]

دوستان لطفا توزیع هایی که از سورس کامپایل و نصب مبکنن رو معرفی کنن...

[alend]

gentoo