По поводу Минкомсвязи приняло заявки на господдержку разработчиков отечественного ПО

[neobht]

Давайте аналогии с другими областями проводить. Вот если в России собирается устройство, разработанное в России, но сделанное из импортных деталей, это устройство будет импортным или отечественным? Далее если инженеры этого российского завода изучат все эти импортные компоненты вдоль и поперёк, от этого эти компоненты перестанут быть импортными и станут отечественными?

Это устройство будет считаться отечественным на импортных компонентах.
Если инженеры изучат - то собранное отечественное устройство из импортных компонентов будет теоретически гарантированно удовлетворять заданным требованиям, если в нем не допущены ошибки.

Если компоненты не изучены, то отечественное устройство - это черный ящик с риском полностью не выполнять свои функции.

К сожалению большинство высокотехнологических отечественных устройств являются такими ящиками. Отечественные сборки Linux - тоже в их числе. Даже без учета что работают на черных ящиках - импортных процессорах и других микросхемах.

[YYY]

Даже без учета что работают на черных ящиках - импортных процессорах и других микросхемах.

Где надо все НУЖНЫЕ компоненты проверены, прочитаны, просмотрены.
Что в винде и ППО сделать без исходников нельзя.
А в линуксе можно, чем и пользуются в определенных структурах ;)

Естественно смысла проверять все компоненты того-же Симпли смысла нет, но если дистр используется в нужном месте, то там резко отграниченный набор компонентов, которые были проверены специально обученными людьми с помощью специального софта :)

[neobht]

Где надо все компоненты проверены, прочитаны, просмотрены.
Что в винде и ППО сделать без исходников нельзя.
А в линуксе можно, чем и пользуются в определенных структурах ;)

Это не так. Современный процессор невозможно проверить, прочитать и просмотреть. Да и более простые компоненты тоже.
Исходники систем - аналогично.

Кстати, там где надо, там исходники винды и ППО предоставлены. В частности - все сертифицированные сборки винды таковы. И при этом сертифицированными считаются и допускаются к распространению те бинарные версии, которые собраны именно из этих исходников. Поэтому говорить о том, что предоставлена липа - нельзя. А сертифицированными насколько помню были все версии винды. Это значит что исходники были предоставлены.

А в линуксе с сертификацией сложнее - по пальцам пересчитать сертифицированные версии, а что касается сертификата ФСБ - так и вовсе почти монополия сейчас - Астра Линукс и наверное больше и нет никого.

[neobht]

Естественно смысла проверять все компоненты того-же Симпли смысла нет, но если дистр используется в нужном месте, то там резко отграниченный набор компонентов, которые были проверены специально обученными людьми с помощью специального софта :)

не существует софта, который сможет найти закладки, если их специально включили в код. Прежде всего закладки, которые связаны с неправильным вычислением определенных значений на определенном типе оборудования при определенных условиях. А именно в большинстве случаев такие дыры в Linux и находят.

Естественно писать закладку типа: print "я закладка" никто в СПО не будет, так как кто-нибудь ее и найдет. А вот писать закладку, которая сводит на нет весь мандатный доступ очень даже будет и найти ее даже человек не всегда сможет. 

[Пользователь.]

Давайте лучше обсуждать, что можно изменить, а что нельзя - обсуждай хоть сколько, ничего не изменится, только время впустую потратишь.

ALT можно изменить, улучшить...

[Skull]

2Пользователь:
Давайте. Отличное место для предложений: https://bugs.altlinux.org/

[Антон Мидюков]

Это устройство будет считаться отечественным на импортных компонентах.

Правильно, то бишь Альт отечественный дистрибутив, использующий частично компоненты собранные по иностранным чертежам!

Если инженеры изучат - то собранное отечественное устройство из импортных компонентов будет теоретически гарантированно удовлетворять заданным требованиям, если в нем не допущены ошибки.

На практике же оно будет удовлетворять требованиям, если его соберут без косяков и, если в чертежах не было грубых ошибок. Грубые же ошибки выявляются в процессе использования, после чего пишутся патчи их устраняющие.

А теперь по поводу достоинств СПО и почему оно не содержит специальных закладок. СПО, как правило, пишет международное сообщество программистов, а не одна какая-то компания, так что внести закладки очень сложно. Код хорошо документируется, в том плане, что каждый коммит обосновывется, проверяется и обсуждается, и только потом принимается (по крайней мере в ядре Линукс так). Откуда закладкам взяться? Ошибкам то, пожалуйста, сколько угодно, но специальным закладкам не откуда. Гораздо большую, но лишь потенциальную, угрозу несут бинарные вставки в ядро Линукс и вообще любые проприетарные компоненты, которые разработчики дистрибутива вынуждены включать для его работоспособности.

[yaleks]

2Пользователь:
Давайте. Отличное место для предложений: https://bugs.altlinux.org/

а смысл - критические баги годами висят https://bugzilla.altlinux.org/show_bug.cgi?id=30166

[YYY]

не существует софта, который сможет найти закладки, если их специально включили в код.

Ну вот пример на ошибки http://www.opennet.ru/opennews/art.shtml?num=42144
Аналогично вполне и на закладки
Понятно что такое - это не 100%, но не критические компоненты можно прогонять - а подозрительные места глазами

[neobht]

На практике же оно будет удовлетворять требованиям, если его соберут без косяков и, если в чертежах не было грубых ошибок. Грубые же ошибки выявляются в процессе использования, после чего пишутся патчи их устраняющие.

Это далеко от реальности.

Требования для отечественного ПО ставятся отечественные. А они должны базироваться на чертежах и если чертежи полностью не просмотрены, то получаем кота в мешке, где баги правим по мере поступления. Для большинства применений это приемлемо и именно так и используется Linux. В более критичных к сбоям системах использование Linux, да и любой другой современной программы - это всегда риски. Вопрос тут только в скорости реагирования служб техподдержки и возможного  причиненного потенциально ущерба.

[neobht]

не существует софта, который сможет найти закладки, если их специально включили в код.

Ну вот пример на ошибки http://www.opennet.ru/opennews/art.shtml?num=42144
Аналогично вполне и на закладки
Понятно что такое - это не 100%, но не критические компоненты можно прогонять - а подозрительные места глазами

Это лишь проверка на возможные ошибки связанные со спецификой языка программирования.

Я же говорю о закладках, которые основаны на неправильной логике работы и специфике оборудования - например надо вычислить дискриминант с точностью до 5 знака, а получается при определенных ситуациях, что все знаки после запятой неверные.

я думаю, что уже сильный оффтоп пошел и его стоит прекратить.

[Антон Мидюков]

Требования для отечественного ПО ставятся отечественные. А они должны базироваться на чертежах и если чертежи полностью не просмотрены, то получаем кота в мешке, где баги правим по мере поступления.

Вот у нас в АСУ, если покупаем иностранный станок, то баги правим потом весь жизненный цикл станка! А чертежи как были по иностранному стандарту на английском (а то и на немецком или французском), так в таком виде и остаются, а наладчик их познаёт по мере необходимости Вот только когда есть исходники и чертежи, баги поправить можно довольно легко, а когда их нет практически невозможно! Вот и вся разница. Приходится доверять разработчикам, так как нет возможности (в смысле ресурса человеческого) проверить.

На счёт всяких там сертификатов, то это очень дорогое удовольствие, которое может себе позволить Микрософт, но далеко не каждый дистрибутив Линукс. Никаких гарантий, что закладки будут найдены. Просто ФСБ заработало чуть-чуть на сертификации Windows 7 и Windows Server 2008 R2 в 2012 году.

[Пользователь.]

2Пользователь:
Давайте. Отличное место для предложений: https://bugs.altlinux.org/

Спасибо за помощь, мне еще долго предстоит осваиваться здесь.

[YYY]

сертификации Windows 7 и Windows Server 2008 R2 в 2012 году.

Самый слабый класс только и то кое как... Потолок - хранить информацию о котиках... и то опасно...
Выше им не прыгнуть - исходников нет, инструментов для сборки проверенных нет, проверить сборкой нельзя и т.д.
Спец сборки линукса - класс значительно выше...

[neobht]

сертификации Windows 7 и Windows Server 2008 R2 в 2012 году.

Самый слабый класс только и то кое как... Потолок - хранить информацию о котиках... и то опасно...
Выше им не прыгнуть - исходников нет, инструментов для сборки проверенных нет, проверить сборкой нельзя и т.д.
Спец сборки линукса - класс значительно выше...

Исходники есть и проверяются сборкой, если что. Иначе сертификат не дают.