您尚未登录。

#1 2018-11-19 11:21:59

驿窗
YCP
注册时间: 2016-06-03
帖子: 610

代码开源,那么有人去真正审核代码么?

我不懂代码,但我想,代码审核一定是一项极耗人力和时间的工作;

比如发行版;
因为不好以真实的发行版说事,我们不妨虚构一个:

假设国内一家企业AAA组成一个团队,想要以Arch Linux为基础(包括Arch Linux的软件仓库),构建一个新的发行版,用于个人/企业免费使用;可能会对部分使用者提供付费的技术支持服务;

那么因为构建新发行版要使用到包括linux内核和众多linux应用在内的数万个软件包,这些软件包可能绝大部分都是开源的,那么,企业AAA的团队,会审核所有软件包的代码么?还是说直接选择信任Arch Linux仓库,只要是仓库的软件包,就不再审核?

或者局部审核?

我总觉得全部审核是不现实的...

最近编辑记录 驿窗 (2018-11-21 17:23:18)

离线

#2 2018-11-19 12:48:47

archblue
会员
注册时间: 2011-08-21
帖子: 39

Re: 代码开源,那么有人去真正审核代码么?

参考红帽干的事
不仅审源代码还会加入各种补丁
国内公司是不用指望了,都是拿来主义

离线

#3 2018-11-20 16:40:47

驿窗
YCP
注册时间: 2016-06-03
帖子: 610

Re: 代码开源,那么有人去真正审核代码么?

红帽做得比较早,2000年以前,那时候代码体积没现在这么大,估计当时审核的话,工作量也没现在从零开始这么多;

而现在的红帽,只需要累加审核就行;已经审核过的,就不用再审了;

现在如果从头开始审核,好像不太容易;

离线

#4 2018-11-21 10:17:02

xtricman
エクス·トリクマン
注册时间: 2012-12-26
帖子: 676

Re: 代码开源,那么有人去真正审核代码么?

archblue 说:

参考红帽干的事
不仅审源代码还会加入各种补丁
国内公司是不用指望了,都是拿来主义

阿里百度都有内核组的,也会有向开源社区贡献代码。


5萬人民幣買個老婆,要國產的,賣的私聊

离线

#5 2018-11-21 10:21:12

xtricman
エクス·トリクマン
注册时间: 2012-12-26
帖子: 676

Re: 代码开源,那么有人去真正审核代码么?

楼主标题与1楼不符,一个是说linux代码,linux就是个内核,我不打算多次重复了。
而类似Arch这种发行版则意味着维护repo服务器,及其中的所有软件包。那么其本质跟小米手机应用商店,苹果AppStore没有区别。除非你除了Arch官方软件仓库啥repo都没用过那我也没必要多做小学生解释。


5萬人民幣買個老婆,要國產的,賣的私聊

离线

#6 2018-11-21 10:23:45

xtricman
エクス·トリクマン
注册时间: 2012-12-26
帖子: 676

Re: 代码开源,那么有人去真正审核代码么?

实际的审核过程必然意味着信任至少一部分他人的工作,例如开发Windows NT内核意味着信任Intel x86手册(实践证明x86手册并不完全可信,只是可信度相当高,参考熔毁事件)


5萬人民幣買個老婆,要國產的,賣的私聊

离线

#7 2018-11-21 16:12:14

驿窗
YCP
注册时间: 2016-06-03
帖子: 610

Re: 代码开源,那么有人去真正审核代码么?

xtricman 说:

楼主标题与1楼不符,一个是说linux代码,linux就是个内核,我不打算多次重复了。
而类似Arch这种发行版则意味着维护repo服务器,及其中的所有软件包。那么其本质跟小米手机应用商店,苹果AppStore没有区别。除非你除了Arch官方软件仓库啥repo都没用过那我也没必要多做小学生解释。


标题确实有误导,我想想怎么改标题;

如果和手机应用商店区别不大,那我想,对于代码的审核应该比较宽松,甚至很难审核到恶意代码,是这样么?

不过我真不清楚repo是啥,我只用过AUR~

离线

#8 2018-11-21 16:28:54

xtricman
エクス·トリクマン
注册时间: 2012-12-26
帖子: 676

Re: 代码开源,那么有人去真正审核代码么?

piter 说:

如果和手机应用商店区别不大,那我想,对于代码的审核应该比较宽松,甚至很难审核到恶意代码,是这样么?

不过我真不清楚repo是啥

就是软件包服务器。对的,如果审查不严格,就会有恶意代码可能被用户安装并使用,因为用户信任你的repo,认为你不会在上面提供恶意软件。

但是由于反恶意软件技术的进步,自动化的代码检测在很大程度上可以检出恶意代码。各大应用商店都使用这个技术,不可能真的每个app做人工黑盒测试,通常是特征代码检测。例如你宣称自己是记事本应用,但检测到对/usr写入的syscall,那我有理由怀疑你是恶意软体。

你究竟怎么得出手机商店审查不严的结论的?请不要购买便宜OPPO及各种杂牌国产手机好吗?苹果谷歌微软都很严的。所以很多应用进不了商店的,你调了私有API分分钟被查到啊!

至于发行版提供的服务多的去了,尤其是付费的,保证repo中没有恶意软体存在只是一方面。基于商业考量,可以减少或增加用于恶意软体检测的技术成本。


5萬人民幣買個老婆,要國產的,賣的私聊

离线

#9 2018-11-21 16:35:44

xtricman
エクス·トリクマン
注册时间: 2012-12-26
帖子: 676

Re: 代码开源,那么有人去真正审核代码么?

反而是Arch这种软件包审查才几乎等于没有吧。Community基本看TU心情。
我错了的话应该会有人来骂我的。
总之就是你开发新的系统肯定信任一些别人的成果啦,不然自己炼铁造硬盘自己长单晶硅造CPU啊?既然选了Linux内核就已经是一种信任,当然意味着风险,Linux内核一旦有问题立马也影响到你的产品,所以你需要内核开发组。


5萬人民幣買個老婆,要國產的,賣的私聊

离线

#10 2018-11-21 17:22:13

驿窗
YCP
注册时间: 2016-06-03
帖子: 610

Re: 代码开源,那么有人去真正审核代码么?

>  开发新系统肯定信任一些别人的成果---
---
从这个角度看,感觉确实有道理;如果选择零信任而引入全面审核,好像还不如全部从零开始,弄个全新的东西出来;

离线

#11 2018-11-21 17:37:38

驿窗
YCP
注册时间: 2016-06-03
帖子: 610

Re: 代码开源,那么有人去真正审核代码么?

>  自动化的代码检测

我估计很多人会比较依赖这种方式,省钱省时~

离线

#12 2019-04-02 23:24:19

renyuneyun
会员
所在地: 地球
注册时间: 2011-09-30
帖子: 129
个人网站

Re: 代码开源,那么有人去真正审核代码么?

這就是哲學(不是那種哲學)問題了……

然而我更傾向於問這個問題:代碼不開源,會有人審覈麼?……


知識很重要,而相當的運用能力更重要。

离线

#13 2019-04-07 16:25:12

apersonlikesc
兔子春
所在地: 喧闹之地
注册时间: 2018-01-21
帖子: 81
个人网站

Re: 代码开源,那么有人去真正审核代码么?

代码开不开源和代码审核是不是没有关系?项目代码是不是都应该审核一下?


越过山丘,遇见十九岁的我

离线

#14 2019-04-07 21:51:22

驿窗
YCP
注册时间: 2016-06-03
帖子: 610

Re: 代码开源,那么有人去真正审核代码么?

我一直以为,不开源的就看不到代码...

离线

#15 2019-04-07 21:54:56

apersonlikesc
兔子春
所在地: 喧闹之地
注册时间: 2018-01-21
帖子: 81
个人网站

Re: 代码开源,那么有人去真正审核代码么?

驿窗 说:

我一直以为,不开源的就看不到代码...

哈哈哈-.-


越过山丘,遇见十九岁的我

离线

页脚