页次: 1
我不懂代码,但我想,代码审核一定是一项极耗人力和时间的工作;
比如发行版;
因为不好以真实的发行版说事,我们不妨虚构一个:
假设国内一家企业AAA组成一个团队,想要以Arch Linux为基础(包括Arch Linux的软件仓库),构建一个新的发行版,用于个人/企业免费使用;可能会对部分使用者提供付费的技术支持服务;
那么因为构建新发行版要使用到包括linux内核和众多linux应用在内的数万个软件包,这些软件包可能绝大部分都是开源的,那么,企业AAA的团队,会审核所有软件包的代码么?还是说直接选择信任Arch Linux仓库,只要是仓库的软件包,就不再审核?
或者局部审核?
我总觉得全部审核是不现实的...
最近编辑记录 驿窗 (2018-11-21 17:23:18)
开源/Linux大众化,从驿窗开始~
离线
参考红帽干的事
不仅审源代码还会加入各种补丁
国内公司是不用指望了,都是拿来主义
离线
红帽做得比较早,2000年以前,那时候代码体积没现在这么大,估计当时审核的话,工作量也没现在从零开始这么多;
而现在的红帽,只需要累加审核就行;已经审核过的,就不用再审了;
现在如果从头开始审核,好像不太容易;
开源/Linux大众化,从驿窗开始~
离线
参考红帽干的事
不仅审源代码还会加入各种补丁
国内公司是不用指望了,都是拿来主义
阿里百度都有内核组的,也会有向开源社区贡献代码。
反社会,精神极其不稳定,随时可能炸碎身边所有人
离线
楼主标题与1楼不符,一个是说linux代码,linux就是个内核,我不打算多次重复了。
而类似Arch这种发行版则意味着维护repo服务器,及其中的所有软件包。那么其本质跟小米手机应用商店,苹果AppStore没有区别。除非你除了Arch官方软件仓库啥repo都没用过那我也没必要多做小学生解释。
反社会,精神极其不稳定,随时可能炸碎身边所有人
离线
实际的审核过程必然意味着信任至少一部分他人的工作,例如开发Windows NT内核意味着信任Intel x86手册(实践证明x86手册并不完全可信,只是可信度相当高,参考熔毁事件)
反社会,精神极其不稳定,随时可能炸碎身边所有人
离线
楼主标题与1楼不符,一个是说linux代码,linux就是个内核,我不打算多次重复了。
而类似Arch这种发行版则意味着维护repo服务器,及其中的所有软件包。那么其本质跟小米手机应用商店,苹果AppStore没有区别。除非你除了Arch官方软件仓库啥repo都没用过那我也没必要多做小学生解释。
标题确实有误导,我想想怎么改标题;
如果和手机应用商店区别不大,那我想,对于代码的审核应该比较宽松,甚至很难审核到恶意代码,是这样么?
不过我真不清楚repo是啥,我只用过AUR~
开源/Linux大众化,从驿窗开始~
离线
如果和手机应用商店区别不大,那我想,对于代码的审核应该比较宽松,甚至很难审核到恶意代码,是这样么?
不过我真不清楚repo是啥
就是软件包服务器。对的,如果审查不严格,就会有恶意代码可能被用户安装并使用,因为用户信任你的repo,认为你不会在上面提供恶意软件。
但是由于反恶意软件技术的进步,自动化的代码检测在很大程度上可以检出恶意代码。各大应用商店都使用这个技术,不可能真的每个app做人工黑盒测试,通常是特征代码检测。例如你宣称自己是记事本应用,但检测到对/usr写入的syscall,那我有理由怀疑你是恶意软体。
你究竟怎么得出手机商店审查不严的结论的?请不要购买便宜OPPO及各种杂牌国产手机好吗?苹果谷歌微软都很严的。所以很多应用进不了商店的,你调了私有API分分钟被查到啊!
至于发行版提供的服务多的去了,尤其是付费的,保证repo中没有恶意软体存在只是一方面。基于商业考量,可以减少或增加用于恶意软体检测的技术成本。
反社会,精神极其不稳定,随时可能炸碎身边所有人
离线
反而是Arch这种软件包审查才几乎等于没有吧。Community基本看TU心情。
我错了的话应该会有人来骂我的。
总之就是你开发新的系统肯定信任一些别人的成果啦,不然自己炼铁造硬盘自己长单晶硅造CPU啊?既然选了Linux内核就已经是一种信任,当然意味着风险,Linux内核一旦有问题立马也影响到你的产品,所以你需要内核开发组。
反社会,精神极其不稳定,随时可能炸碎身边所有人
离线
> 开发新系统肯定信任一些别人的成果---
---
从这个角度看,感觉确实有道理;如果选择零信任而引入全面审核,好像还不如全部从零开始,弄个全新的东西出来;
开源/Linux大众化,从驿窗开始~
离线
> 自动化的代码检测
我估计很多人会比较依赖这种方式,省钱省时~
开源/Linux大众化,从驿窗开始~
离线
這就是哲學(不是那種哲學)問題了……
然而我更傾向於問這個問題:代碼不開源,會有人審覈麼?……
知識很重要,而相當的運用能力更重要。
离线
代码开不开源和代码审核是不是没有关系?项目代码是不是都应该审核一下?
越过山丘,遇见十九岁的我
离线
我一直以为,不开源的就看不到代码...
开源/Linux大众化,从驿窗开始~
离线
我一直以为,不开源的就看不到代码...
哈哈哈-.-
越过山丘,遇见十九岁的我
离线
页次: 1