Linux più sicuro per Evans Data Corp.

[fek]

Quote:

- minimazzare i difetti (l'utente del soft OSS ne ha appena eliminato uno, e una miriade di altre persone come lui può fare lo stesso, nel caso del CSS invece il difetto rimane)
- massimizzare l'estensibilita' (magari non ho ben chiaro cosa voglia dire, ma cosa c'è di più estensibile di un codice aperto a chiunque voglia aggiungervi funzionalità?)
- minimizzare i costi di mantenimento (chiunque può contribuirvi, e lo fa per passione, non per denaro, per primo il creatore del soft. Chi lo fa evidentemente ha parecchio tempo libero, ed il tempo libero lo si impiega come si vuole, quindi ha il valore che ognuno vuole attribuirgli)
- implementare le specifiche (questo lo vorrei spiegato )

Il tuo discorso non farebbe una grinza se si ignorasse il fatto che un fix non e' di per se' esente da difetti. Come dicevo all'inizio del thread, chi mi garantisce che il tuo fix non introduca nuovi difetti?
Nessuno.
Ci vogliono dei metodi per garantirlo e qui entrano in gioco i metodi formali, ed una parte di questi non puo' essere implementata in un modello OS.

Ad esempio, il fatto che chiunque puo' contribuire al software aumenta i costi di mantenimento, non li dimunisce. Per costi non intendiamo solo in termini di denaro, ma anche in termini di tempo e, si', di stabilita'. Ricordiamoci che aggiungere un programmatore ad un progetto tende ad aumentare i tempi di sviluppo, non a diminurli.

Implementare le specifiche significa che se io chiedo un software per calcolare il numero di clienti in un database e tu mi consegni un software che calcola con precisione esatta il tempo che fara' domani, avrai scritto un gran programma, magari totalmente esente da difetti (anche se e' impossibile ), ma non implementa le specifiche richieste, quindi mi e' inutile

[afterburner]

Quote:

Originariamente inviato da fek
Ora, il punto del discorso e': l'articolo affermava che Linux e' piu' sicuro perche' la metodologia di sviluppo OS (e distribuita abbiamo specificato in seguito lungo il thread) e' intrinsecamente piu' sicura. No, mi sono affannato a dimostrare il contrario, portando svariati esempi che includono sia le pratiche che di solito vengono disattese in questa metodologia, sia le pratiche che sono assolutamente impossibili (ho citato il pair programming), per concludere che l'OSS e' intrinsecamente di minor qualita' rispetto a codice scritto "on site".

1."L'articolo affermava che Linux e' piu' SICURO":
Non sono io pinco pallino afterburner ad affermarlo ma qualcuno che prima di dirlo, sapendo che tra l'altro andava contro MS, ci avra' pensato parecchio ..
2. ".. per concludere che l'OSS e' intrinsecamente di minor qualita' rispetto a codice scritto "on site":
Ho capito che il tuo concetto di QUALITA' viene dall'eXtreme Programming e nell'ambito di questa metodologia puoi aver ragione.

A questo punto, almeno slega il binomio QUALITA'-SICUREZZA!! La sicurezza di un software openSource e' proprio data dal fatto che chiunque puo' leggere i sorgenti e le cappelle vengono fuori.
La sicurezza di algoritmi tipo RSA,DSA,ECC e' data dal fatto che sono algoritmi crittografici noti .. l'algoritmo tutti lo conoscono e dopo anni di studi non e' stato possibile craccarli matematicamente: e' la conoscenza dell'algoritmo che fa la sicurezza di questi sistemi cosi' come la conoscenza dei sorgenti di un software fa la sicurezza di quel software.
OT: Vado a farmi una pasta .. di qualita' .. buona serata a tutti

[Ikitt_Claw]

Quote:

Originariamente inviato da fek
Mi sembrava chiaro che software di qualita' non vuol dire esente da bug

Per essere chiaro, era chiaro...

[Ikitt_Claw]

Quote:

Originariamente inviato da fek
Sicuramente il solo fatto di rendere un sorgente pubblico non ne aumenta la qualita', questo e' sicuro, perche' la qualita' dipende dalle metodologie di sviluppo.

Chiaramente.

Quote:

Ora, il punto del discorso e': l'articolo affermava che Linux e' piu' sicuro perche' la metodologia di sviluppo OS (e distribuita abbiamo specificato in seguito lungo il thread) e' intrinsecamente piu' sicura.

Altro punto largamente discutibile, infatti (Cfr prima pagina di questo thread). Ma la propaganda non c'e` solo e` soltanto per il SW commerciale

[DjMix]

Quote:

Originariamente inviato da fek
qui si sta parlando di metodologia di sviluppo OSS

E ridaje. Ma la smetti? OSS non è una metolologia!!! Ti ho già spiegato che puoi benissimo sviluppare un software opensource seguendo le regole che scrivevi qualche post fa, perchè insisti? E ti ho spiegato pure che CSS non significa automaticamente che le tue regole vengano applicate, anzi "di solito" non vengono manco prese in considerazione!!!

Quote:

Originariamente inviato da fek
con sviluppo decentralizzato. E' cio' di cui abbiamo discusso fino ad ora.

Che non è implicato nella definizione OSS, ma ne è una conseguenza. Non una regola, quindi. E la discussione finora è andata a senso unico, perchè hai bellamente ignorato tutto quel che ti si diceva riguardo a questo.

Quote:

Originariamente inviato da fek
Non si sta parlando dell'opportunita' o meno di rilasciare i propri sorgenti al pubblico che e' un discorso completamente diverso e sul quale non ho un'idea precisa.

Non c'è scritto da nessuna parte che si _debba_ rilasciare il sorgente al pubblico. L'unico dovere è rilasciarlo solo a chi lo usa e che ne fa richiesta. Poi questo può darlo a chi gli pare, ma non lo obbliga nessuno.

Quote:

Originariamente inviato da fek
Sicuramente il solo fatto di rendere un sorgente pubblico non ne aumenta la qualita', questo e' sicuro, perche' la qualita' dipende dalle metodologie di sviluppo.

Nelle metodologie di sviluppo ci sono pure i test, e un pinco pallino che si scarica il programma e mi manda una mail dicendo "guarda che ho fatto così e così e non funziona un tubo" ma non mi manda una riga di codice COMUNQUE mi ha dato una mano nel fare dei test e nel trovare bachi, e scusa tanto ma a me pare proprio che questo faccia aumentare la qualità, non la diminuisce di certo!

Quote:

Originariamente inviato da fek
Ora, il punto del discorso e': l'articolo affermava che Linux e' piu' sicuro perche' la metodologia di sviluppo OS

che non è una metodologia

Quote:

Originariamente inviato da fek
(e distribuita abbiamo specificato in seguito lungo il thread)

che non è per forza distribuita

Quote:

Originariamente inviato da fek
e' intrinsecamente piu' sicura. No, mi sono affannato a dimostrare il contrario, portando svariati esempi che includono sia le pratiche che di solito vengono disattese in questa metodologia, sia le pratiche che sono assolutamente impossibili (ho citato il pair programming), per concludere che l'OSS e' intrinsecamente di minor qualita' rispetto a codice scritto "on site".

Ma grazie tante, te l'abbiamo detto anche noi che spesso non vengono fatte le cose come dici tu! Ma nemmeno nel CSS vengono fatte sempre! E di nuovo OSS non significa _per_forza_ che gli sviluppatori siano ogniuno ai 4 angoli della terra!

Non so se l'hai notato ma la discussione te la sei fatta e finita da solo, e la conclusione pure. OSS non è una metodologia, e le regole che dici tu gli si possono applicare benissimo, e CSS non significa assolutamente che le suddette vengano applicate. Il fatto che OSS sia alla lunga più sicuro è dato da motivi che stanno al di fuori dalle tue regole e questo, che ti piaccia o no, è sotto agli occhi di tutti.

[DjMix]

sorry, pasticciato coi bottoni

[cdimauro]

Quote:

Originariamente inviato da Ikitt_Claw
Esattamente. Ma mi pareva che nel thread si sostenesse che l'OSS preclude automaticamente alcune metodologie che sono implicite nel CSS o mi sbaglio?

Il problema è che, di fatto, ciò avviene, come ha spiegato fek. Dal punto di vista formale non v'è nulla dire, ma bisogna anche piantare i piedi per terra...

Quote:

Non ricordo che la cosa fosse messa giu` in questi termini (forse non ho partecipato al thread?)!

Sei intervenuto, invece. Quando parlavamo di una licenza che permettesse, in buona sostanza, di evitare il fork del progetto, le cui linee guida fossero dettate da un team.

Quote:

Forse qualcuno (non sto facendo il vago, sto parlando in generale) ha l'idea che in un progetto OSS il primo che passa puo` modificare tutto quel che gli pare come gli pare, beh, le cose non stanno esattamente cosi`, non sempre almeno.
Il mantainer ha sempre la possibilita` (ovviamente!) di rigettare le patch per qualunque motivo, o perche` la luna e` allineata con saturno, o perche` il nickname del proponente lo fa ridere, o perche` la modifica non passa una batteria sterminata di test di varia natura...

Anche quest'arbitrarietà del mantainer è non poco preoccupante, mi basta ricordare le "idee" di Torvald relative all'utilizzo del C++ quale linguaggo di sviluppo per il kernel, tanto per fare un esempio non tanto lontano nel tempo e di cui abbiamo parlato qui in un thread...

Quote:

La natura aperta dell'OSS ha come conseguenza fondamentale il fatto che chiunque ha la possibilita` di proporre patch, non ha pero` la certezza che venga accettata per millemila diversi motivi...

Se fossero tecnici, e soprattutto se si potesse aprire una LIBERA discussione in merito, mi starebbe già bene.

Quote:

...In quel caso puo` farsi un fork, pero`

Che fai, stuzzichi?

Quote:

...Cosa che si puo` fare, e a volte si fa (a volte no, ahime`), anche nel mondo F/OSS...

...Cosa che si puo` fare, e a volte si fa (a volte no, ahime`), anche nel mondo F/OSS...

Diciamoci la verità: tante volte no, ed è questo il problema...

Quote:

Questo e` un discorso diverso, che non affronterei qui per non appesantire il thread.

No problem. Tanto prima o poi salterà fuori un thread "a tema"...

[cdimauro]

Quote:

Originariamente inviato da afterburner
Ovvio che se lavoro per un'azienda che porta avanti un progetto e sono stipendiato da tale azienda, se una mia modifica (o proposta di miglioramento) non viene accettata "prendo, intasco e me la metto via" ..

Le cose non stanno esattamente così, come ho già avuto modo di spiegare: le proposte sono sempre vagliate scrupolosamente e vengono prospettati i costi e i benefici della nuova soluzione rispetto alla precedente. Dopo un ATTENTO esame, viene scelta la soluzione ottimale.
E posso assicurarti che il libero arbitrio, l'antipatia nei confronti del proponente, o le paturnie del responsabile del progetto hanno ben poco a che vedere in tutto ciò.

Quote:

Nel mondo OSS e' diverso .. Linux stesso (il kernel) e' un fork del progetto Minix del prof. Tanenbaum ..
Professionale o meno l'importante e' che funzioni

Questo, però, è un altro discorso.

[cdimauro]

Quote:

Originariamente inviato da DjMix
Non hai capito il mio discorso. Io sto dicendo che, se un team sviluppa un programma, e lo mette sotto una licenza free o open, non è obbligato in alcun modo a subire ingerenze esterne dal primo che capita. Ma se c'è un qualcuno che mette mano al codice (se lo copia giù dal cvs pubblico) e fa modifiche, le propone al team e questo le rigetta, questo qualcuno può prendere il codice che si è tirato giù dal cvs e usarlo come base per un progetto diverso (si fa un fork). Il team del programma originale continua per la sua strada, sto qualcuno continua per la sua, e fine della storia. Tu continui ad usare il programma originale e sei a posto. Non intendevo affatto che i programmatori del team dentro l'azienda si mettano a forkare il progetto fra di loro, sarebbe una gran cazzata eh!

Forse non hai capito il mio, di discorso: il fork di un progetto che ne genera un altro avente praticamente gli stessi obiettivi, penso sia una cosa inutile e grave (opinione personale).
Il mio discorso puntalizza il fatto che in un'azienda che utilizza certe metodologie, ciò è semplicemente impensabile: è il modus operandi che proprio non ti fa nemmeno passare per la testa una cosa del genere!

[cdimauro]

Quote:

Originariamente inviato da leoneazzurro
Tornando al discorso, se il modello OS ha le sue lacune, ha anche dei vantaggi interessanti, se non altro per gli "stimoli" che può dare ai programmatori.

Indubbiamente. Ma è un altro discorso.

Quote:

Mi fate qualche esempio di software life critical basato su Win?

Quello usato nella macchina utilizzata per farmi operare alla vista col laser a eccimeri, tre anni fa.

Quote:

Ad ogni modo, sappiamo tutti che l'OS (usato spesso nei server) che ha avuto meno falle di tutti è OpenBSD Non supporterà tanto hardware, ma per essere solido è solido...

Solidità in termini di ingegneria del software? Bisogna vedere...

[cdimauro]

Quote:

Originariamente inviato da DjMix
Quello che non capisco è come facciate ad arrivare alla conclusione

Software Libero/open source = sviluppato dai programmatori della domenica
Software closed = sviluppato seguendo i crismi

Non è che stai forzando un po' troppo le conclusioni? Mi sembra che il discorso affrontato sia ben chiaro...

Quote:

Da quel che mi raccontano i miei amici freschi di ingegneria informatica, che han trovato posto in aziende di software, la situazione è disastrosa! Ovvio che son solo parole mie, ma caspita fidatevi, non vengo certo a sparare balle...

Nessuno lo nega: il marcio lo trovi un po' ovunque.

Quote:

il fatto che sia closed o portato avanti da una società non significa automaticamente che sia fatto bene!

NESSUNO l'ha mai negato!

Quote:

E per assurdo l'F/OSS ti consente di renderti *esattamente* conto di come viene portato avanti un programma, cosa che non puoi quasi mai fare in un programma closed! Come fate ad essere così convinti delle vostre idee di fronte a questi fatti?

Forse ti sfugge che, all'interno dell'azienda, il software non è certo "closed", ma "open": tutto il team, o chi è interessato e autorizzato, può prenderne tranquillamente visione.

[Ikitt_Claw]

Quote:

Originariamente inviato da cdimauro
Il problema è che, di fatto, ciò avviene, come ha spiegato fek. Dal punto di vista formale non v'è nulla dire, ma bisogna anche piantare i piedi per terra...

Quote:

Diciamoci la verità: tante volte no, ed è questo il problema...

La "verita`" (meglio: la situazione reale) ve/te la dico senza problemi, e mi pare di averla piu` volte ribadita anche nel corso del thread (cominciando dalla prima pagina per giunta )

Il punto pero` e` che fek insiste nell'usare l'aggettivo "intrinseco" rifendosi a certi difetti o punti discutibili della situazione attuale del F/OSS.
Su questo punto, come s'e` visto, sono in totale e forte disaccordo, e nel corso del dibattere non sono ancora emersi elementi determinanti (per me) a favore di questa teoria.

[cdimauro]

Quote:

Originariamente inviato da DjMix
Tetto? o ditta? Se ti basta la seconda, eccolo:

http://www.teammosaico.biz/Ricordiamoci che questo vale da tutte e due le parti

Hai provato a scaricarti i sorgenti di Mosaico? Bene, fallo e dai un'occhiata al progetto. Ti accorgerai di un po' di cose:

1) utilizza componenti esterni al progetto, di cui alcuni closed source e/o a pagamento
2) utilizza Delphi, che è closed source e a pagamento
3) i sorgenti non rispecchiano neppure lontanamente i canoni su cui sono stato abituato a lavorare all'STMicroelectronics; neppure di striscio...

Forse hai scelto l'esempio sbagliato...

[cdimauro]

Quote:

Originariamente inviato da ilmanu
avete mai letto qualcvhe stralcio dei commenti hai sorgenti di windows che circolavano tempo fa? i programmatori si offendevano lasciando monologhi al posto di commentare il codice, tipo per colpa di quel xxxxxxx che ha scritto quel codice col xxxxxx io ora mi devo fare un mazzo tanto per fare cosi cosi cosi


e vi posso garantire che i termini farebbero impallidire totti

Bene. Non ho mai avuto accesso a quei sorgenti, ma piacerebbe vederne la struttura. Anche nei sorgenti che ho scritto all'STM c'era il campo "remarks", e potevo scrivere ciò che mi pareva...

Quote:

quindi, se window se tanto scritto bene perche' io che pago non posso avere il DIRITTO di vedere cosa protegge la mia privacy? perche' se lo tengono avidamente stretto?

Politica adottata dall'azienda.

Quote:

forse perche' non e' poi scritto cosi' bene?

E' da vedere, appunto.

Quote:

winxp e' scritto in tutti i linguaggi possibili, dal c al basic, assembler e tanti altri, parti di codice che risalcono alla dosshell....

L'hai visto? Puoi provarlo? Comunque si scrive assembly (il linguaggio), non assembler (che è il compilatore)!

Quote:

no...non e' cosi' che si lavora bene....

Aspettiamo dimostrazioni...

Quote:

se la filosofia del del close e' migliore

Mi sembra che i termini della questione siano un po' diversi.

Quote:

windows non puo' essere usato come esempio.... perche' pur usufruendo di team di sviluppo che lavorano fianco a fianco non cavano un ragno dal buco......

Questo lo pensi tu, e non porti prove concrete. Aggiungici IMHO.

[cdimauro]

Quote:

Originariamente inviato da afterburner
1."L'articolo affermava che Linux e' piu' SICURO":
Non sono io pinco pallino afterburner ad affermarlo ma qualcuno che prima di dirlo, sapendo che tra l'altro andava contro MS, ci avra' pensato parecchio ..

Bisogna vedere su quali basi può affermarlo, però. Finora mi sembra si tratti esclusivamente di statistiche, non di confronto di metodologie di sviluppo...

Quote:

A questo punto, almeno slega il binomio QUALITA'-SICUREZZA!! La sicurezza di un software openSource e' proprio data dal fatto che chiunque puo' leggere i sorgenti e le cappelle vengono fuori.

Ne abbiamo già parlato in abbondanza in passato: permettemi di dubitarne (e qui il buon ilsensine storcerà il naso )

Quote:

La sicurezza di algoritmi tipo RSA,DSA,ECC e' data dal fatto che sono algoritmi crittografici noti .. l'algoritmo tutti lo conoscono e dopo anni di studi non e' stato possibile craccarli matematicamente: e' la conoscenza dell'algoritmo che fa la sicurezza di questi sistemi cosi' come la conoscenza dei sorgenti di un software fa la sicurezza di quel software.

Mi spiace, ma il paragone non calza: la sicurezza, in questi casi non ha alcuna relazione. Si tratta proprio di cose completamente diverse!

[cdimauro]

Quote:

Originariamente inviato da DjMix
Il fatto che OSS sia alla lunga più sicuro è dato da motivi che stanno al di fuori dalle tue regole e questo, che ti piaccia o no, è sotto agli occhi di tutti.

Questo, che ti piaccia o no, non è MAI stato dimostrato: e scusa se è poco...

[cdimauro]

Quote:

Originariamente inviato da Ikitt_Claw
La "verita`" (meglio: la situazione reale) ve/te la dico senza problemi, e mi pare di averla piu` volte ribadita anche nel corso del thread (cominciando dalla prima pagina per giunta )

Benissimo. Almeno a un punto di convergenza siamo arrivati.

Quote:

Il punto pero` e` che fek insiste nell'usare l'aggettivo "intrinseco" rifendosi a certi difetti o punti discutibili della situazione attuale del F/OSS.

Oggettivamente, pensi che la situazione possa migliorare in futuro?

Quote:

Su questo punto, come s'e` visto, sono in totale e forte disaccordo, e nel corso del dibattere non sono ancora emersi elementi determinanti (per me) a favore di questa teoria.

E non è detto che ci arrivi. L'importante è che, se ci sono dei dubbi e si ha la disponibilità a parlarne, qualcosa di nuovo esca fuori per provare a chiarire la situazione. E mi sembra che il thread, per questo, sia fra i più interessanti che abbiamo mai avuto in questo forum...

[ilmanu]

quando cdimauro posta incomincio a sudare, basti vedere il numero di raplay consecutivi, scusa la grammatica e la terminologia magari sbagliata, pero' vedo che cmq hai capito cosa intendevo.... come sempre....


hai pvt

[ilsensine]

Quote:

Originariamente inviato da fek
Ora, il punto del discorso e': l'articolo affermava che Linux e' piu' sicuro perche' la metodologia di sviluppo OS (e distribuita abbiamo specificato in seguito lungo il thread) e' intrinsecamente piu' sicura.

Se ridai una occhiata a inizio thread, vedrai che sono stato io ad avanzare i primi dubbi sulla bontà dell'articolo.
Però poi si è finiti col dire il contrario, ovvero che l'OSS e il suo sviluppo "decentralizzato" è "intrinsecamente meno affidabile" per quel che riguarda la qualità del prodotto. Lavorando con software libero in prima persona ho solo precisato che non è così: i progetti portati avanti da professionisti (kernel, gnome, kde, xfree, openoffice e tanti altri) non hanno nulla da invidiare a controparti commerciali: in più, la disponibilità del codice ha reso possibile (ed è stato ed è continuamente fatto!) auditing approfonditi da parti terze e imparziali.
Lo sviluppo decentralizzato non è un limite, in quanto ogni sviluppatore deve sempre passare per il gestore di riferimento del ramo di appartenenza, che effettua test e validazioni prima di proporre il lavoro ai gestori dei rami superiori, che a loro volta faranno altri test e validazioni. E' una struttura (quasi) piramidale che (almeno per il kernel, con il quale ho più esperienza) ha prodotto risultati notevoli. Non funziona alla "facciamo un pò come c***o ci pare", e le revisioni rigide vengono fatte in tutti i punti della "catena di montaggio"

Quote:

No, mi sono affannato a dimostrare il contrario, portando svariati esempi che includono sia le pratiche che di solito vengono disattese in questa metodologia, sia le pratiche che sono assolutamente impossibili (ho citato il pair programming), per concludere che l'OSS e' intrinsecamente di minor qualita' rispetto a codice scritto "on site".

I fatti smentiscono quest'affermazione: il software libero sviluppato in maniera professionale non ha nulla da invidiare ai software commerciali alternativi. Ti ho portato un pò di link per farti rendere conto di alcuni processi di test e auditing che sicuramente non conoscevi, prendilo almeno con il beneficio del dubbio

[Ikitt_Claw]

Quote:

Originariamente inviato da cdimauro
Oggettivamente, pensi che la situazione possa migliorare in futuro?

Non e` facile da dirsi.

Se l'interesse commerciale continua a crescere, e/o se GNU/Linux continua ad acquisire importanza e penetrazione nel mercato, e` quasi inevitabile che la qualita` del software assuma via via un'importanza sempre maggiore, com'e` ovvio e giusto che sia.
Vedendo anche la situazione corrente e del recente passato, direi che le componenenti fondamentali dell'OS (X server, librerie di sistema, DE, kernel, framework quali mono, server piu` popolari) saranno inevitabilmente soggetti a raffinamento sempre piu` accurato.

Ea anche da notare pero` che l'aumento di popolarita` del sistema attirera` inevitabilmente programmatori (o Software House...) poco attente, poco capaci o poco preparati a questi aspetti.
La qualita` media potrebbe quindi subire una flessione, a fronte di -relativamente- pochi progetti eccellenti (nel contesto o in assoluto) e una marea di sw mediocre o comunque non eccellente.

Similmente a quanto accade gia` adesso su freshmeat.net, peraltro.

PS: tutto cio` detto, io continuo a ravvisare un'abuso del termine "intrinseco".
Anche se la situazione non migliorasse o peggiorasse, o quel che e`, i difetti attuali e in generale la mancanza di qualita` del SW libero o opensource non sono -a parer mio- in alcun modo imputabili alla licenza.