Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Et 10000 développeurs correctement "dirigée" travaillant sur la même version?Envoyé par Louis Griffont
Ton dix mille est peut être exagéré mais tu sais c'est comme ça que ça se passe, tu crois réellement qu'un projet comme Linux ou bien Debian n'est pas correctement carré...
Carré ou Cadrée ?
Ensuite, je veux bien croire que ces projets soient cadrés, mais j'ai tout de même du mal à penser que l'efficacité soit meilleure dans le cadre d'un projet ou les développeurs sont inconnus, dispatcher n'importe ou dans le monde et sans réelle relation entre eux, et un projet géré dans une entreprise, ou chacun sait qui fait quoi ! Mais, je me trompe peut-être.
Tu te trompes biensur, l'Open Source est LA solution aux problèmes du monde !je pensais qu'avec le temps tu aurais compris ça !! Tous les développeurs travaillent de la même façon, commentent leur code de façon parfaite et, biensur, ont la même logique de conception d'une application. Donc forcément, vue que tout le monde travail pareil, tout est plus facile pour comprendre !
Rejoignez la communauté du chat et partagez vos connaissances ou vos questions avec nous
Mon Tutoriel pour apprendre les Agregations
Consultez mon Blog SQL destiné aux débutants
Pensez à FAQ SQL Server Ainsi qu'aux Cours et Tuto SQL Server
Ha ! Au temps pour moi, alors !Tu te trompes biensur, l'Open Source est LA solution aux problèmes du monde !
Ha ! Autant pour moi, alors !
Rejoignez la communauté du chat et partagez vos connaissances ou vos questions avec nous
Mon Tutoriel pour apprendre les Agregations
Consultez mon Blog SQL destiné aux débutants
Pensez à FAQ SQL Server Ainsi qu'aux Cours et Tuto SQL Server
Ca dépend, l'open source des fois ça fonctionne super, et des fois ça ressemble à une excuse pour faire digérer des trucs pas finis et mal documentés.Tu te trompes biensur, l'Open Source est LA solution aux problèmes du monde !
Pour ce qui est de la news, franchement c'est quoi ce boulot de faire chanter un éditeur? MS, comme tous les gros éditeurs, a quand même certaines contraintes et un parc installé existant qui font qu'une mise à jour n'est certainement pas un petit truc anodin mais tout un processus.
Je vois pas au nom de quoi des guignols se permettraient de décider que ça doit impérativement être fait sous un délai de X en menaçant de mettre en danger les utilisateurs du produit concerné. Je vois pas comment on peut soutenir cet espèce de chantage à la gomme qui est nuisible aussi bien à un éditeur qu'à ses clients.
Au temps pour toiHa ! Autant pour moi, alors !
@_skip
Je suis tout à fait d'accord avec toi, mais certains pensent qu'un type lambda a le droit de tenir une entreprise par les bijoux de famille juste comme ça, sans même savoir comment elle fonctionne en interne et quelles sont ses contraintes de travail.
Au temps pour toiAu temps pour moi en effet, j'ai écrit trop vite.
Merci pour la correction.
Les américains le font bien avec les pays grâce à leur système d'appréciation de la dête.. Une entreprise privée peut mettre à genoux un pays.. vous pensez vraiment qu'une entreprise peut résister?Au temps pour toi
@_skip
Je suis tout à fait d'accord avec toi, mais certains pensent qu'un type lambda a le droit de tenir une entreprise par les bijoux de famille juste comme ça, sans même savoir comment elle fonctionne en interne et quelles sont ses contraintes de travail.
Rejoignez la communauté du chat et partagez vos connaissances ou vos questions avec nous
Mon Tutoriel pour apprendre les Agregations
Consultez mon Blog SQL destiné aux débutants
Pensez à FAQ SQL Server Ainsi qu'aux Cours et Tuto SQL Server
Dans notre monde capitaliste je pense qu'il est illusoire de croire que les états ont encore le dessus sur les entreprises privées ayant un rôle jugé mondialement important (comme par exemple noter la dette des pays).
Je ne pense pas qu'il puisse y avoir le même rapport de force entre un individu et une entreprise qui a une renommée mondiale.
Mais après c'est discutable, évidemment.
Carré comme quelque chose de carré, bon ok c'est une expression mais bref.
Mais sinon pourquoi des développeurs travaillant ensemble sur un projet seraient sans relation entre eux? Est ce que tu suis un projet particulier pour dire ça? Personnellement je pense le contraire, il suffit d'utiliser irc, newsletter, il y a même des conférences et des rencontres irl ()
D'ailleurs comparer à une entreprise ça me faire rire, comme si dans une grosse boite on se connaissait tous et comme si on travaillait tous dans le même pays...
Ben travailler sur un même projet dans une grosse boîte n'empêche pas d'être dans le même bureau, ou au moins dans la même zone. Le contact physique et verbal est plus efficace que la profusion de mails. Et en plus on peut montrer à ses collègues le rendu de notre travail sur son poste en cas de bug. Plus efficace que les screenshots.
C'est du vécu (avec un projet en Offshore dans une grosse boîte commençant par "Arcelor" et finissant par "Mittal", notamment)
Tu fais exprès de penser qu'un projet open source est forcément organisé de façon anarchique?
Quand une faille est détectée sur un système linux, le lendemain elle est souvent corrigée, ce qui est loin d'être le cas sur un système fermé tel que Windows où il faut attendre que Microsoft veuille bien se bouger. Car Microsoft va d'abord évaluer les contraintes, les avantages à en tirer, les bénéfices à se faire, pour finalement désigner une équipe pour se charger du problème. Il va ensuite décider d'une date de déploiement de mise à jour...etc.
Sur un système libre: Disons qu'on ait 10000 solutions pour corriger une faille... Il y a quand même quelqu'un au final qui va placer le label SVN (ou tout autre système de gestion de configuration), donc il y a quand même des autorités compétentes: C'est cadré. Et ils n'attendent pas des mois pour livrer une correction. Si aucune pression n'est faite sur les entreprises tel que Microsoft, quels sont les intérêts de cette même boite à livrer un correctif? Aucun!
Alors quand quelqu'un diffuse une faille, ça déplait à Microsoft. C'est compréhensible, il va perdre de l'argent et c'est vrai que les pauvres ils n'en ont pas beaucoup... A même temps si ils avaient bien fait leur boulot à la base (ça c'est gratuit je sais
Je vais être aussi affirmatif que toi: Tu te trompes surement.
J'ai du mal à croire que des employés d'une boite soient plus impliqués dans leur projet, qu'un passionné qui travaillera sans relâche même après le boulot (alors qu'il n'est pas payé): C'est mon cas. La "relation entre eux" comme tu le cites est la passion de faire quelque chose de bien ce qui est loin d'être le cas partout dans une entreprise...
Mon point de vue : L' essence d'un travail bien fait c'est la motivation.
De mon point de vue (encore) : vaut mieux avoir 10000 développeurs motivés et qui apportent leur solutions qu'une grosse boite qui va bien prendre son temps pour sortir un patch et qui sera dirigé/bridé par toute sorte d'entité interne (achats, qualité, ...)
Donc je suis pour mettre une grosse pression à ces énormes boites qui savent prendre les sous, mais feront tout pour pas en dépenser 1/10°, même pour améliorer leur produits...
c'est bien ce que je disais, l'open source est LA solution aux maux du monde informatique !
Rejoignez la communauté du chat et partagez vos connaissances ou vos questions avec nous
Mon Tutoriel pour apprendre les Agregations
Consultez mon Blog SQL destiné aux débutants
Pensez à FAQ SQL Server Ainsi qu'aux Cours et Tuto SQL Server
Voilà
Tu simplifies un peu trop les choses je crois, vu le parc de machines impressionnants sous windows, y compris dans de grandes infrastructures, une mise à jour loupée peut coûter des dizaines où des centaines de milliers d'euros à plein le monde. Il y a sûrement des procédés de validation complexes là derrière.
Pour ce qui est de linux, dis-toi bien que peu d'entreprises sérieuses vont aller chercher sur un svn un correctif 0-day. Quel que soit le système d'exploitation la mise à jour d'une infrastructure qui fonctionne comme telle est toute une procédure.
Il y aurait de toutes façons un temps de battement plus ou moins long entre la découverte de la faille et la sécurisation des machines, donc une faille rendue publique est un danger pour les utilisateurs d'un produit.
Non, quand tu divulgues une faille, ce sont les utilisateurs à qui tu causes le plus de problèmes car tu les exposes aux nuisances de tous les h4x0rz w4nn4b33s du net qui ont envie de faire chier le monde.Si aucune pression n'est faite sur les entreprises tel que Microsoft, quels sont les intérêts de cette même boite à livrer un correctif? Aucun!
Alors quand quelqu'un diffuse une faille, ça déplait à Microsoft. C'est compréhensible, il va perdre de l'argent et c'est vrai que les pauvres ils n'en ont pas beaucoup... A même temps si ils avaient bien fait leur boulot à la base (ça c'est gratuit je sais
Et c'est la qu'on voit que certains points comme la documentation ne passionnent pas grand monde.J'ai du mal à croire que des employés d'une boite soient plus impliqués dans leur projet, qu'un passionné qui travaillera sans relâche même après le boulot (alors qu'il n'est pas payé): C'est mon cas. La "relation entre eux" comme tu le cites est la passion de faire quelque chose de bien ce qui est loin d'être le cas partout dans une entreprise...
Mon point de vue : L' essence d'un travail bien fait c'est la motivation.
Ben moi tu vois, je suis dans une petite entreprise de développement et on travaille pour l'argent, pas pour améliorer le monde. Quand tu comptes là dessus pour bouffer je peux dire que ta motivation compare très largement avec la plupart des hobbyistes qui contribuent 40-50 lignes de code à un projet.
Ton souci, c'est qu'apparemment tu te rends pas assez compte à quel point c'est délicat de faire des mises à jour sur des systèmes qui sont en fonction. Surtout quand ce sont des trucs qui ont été vendus pour lesquels on a pas trop le droit à l'erreur.De mon point de vue (encore) : vaut mieux avoir 10000 développeurs motivés et qui apportent leur solutions qu'une grosse boite qui va bien prendre son temps pour sortir un patch et qui sera dirigé/bridé par toute sorte d'entité interne (achats, qualité, ...)
Donc je suis pour mettre une grosse pression à ces énormes boites qui savent prendre les sous, mais feront tout pour pas en dépenser 1/10°, même pour améliorer leur produits...
Tu sembles un bon partisan de l'open source, je ne voudrai pas débattre de ça ici mais les éditeurs de logiciels propriétaires ne peuvent pas dire à leur client "si t'es pas content t'as les sources tu te démerdes" et les responsabilités à prendre sont très sérieuses lorsqu'on se risque à des modifications d'urgence.
Encore une fois, il s'agit d'une assertion gratuite et sans fondement.
Tout dépend de la faille et depuis quand elle est exploitée par des tiers... ... ce qui est impossible à déterminer.
Si la faille en question a déjà été signalée et que l'éditeur n'a rien fait, publier l'information permet d'accroitre la sécurité des utilisateurs puisque cela mets la pression sur l'éditeur pour qu'il corrige, et éventuellement, selon la faille, cela permet à des tiers de développer des contournements permettant de combler la faille en question (désactiver un service, un module, bloquer un protocole, etc ...)
Ce 2ème argument va même en faveur d'une publication directe et sans rien attendre de la faille.
Bref, tout dépend de la faille mais on peut quand même dire que ce n'est certainement pas du secret que née la sécurité, c'est carrément l'inverse.
Poutant le calcul est simple :
Plus il y a de monde qui sait comment exploiter une faille, plus il y a de monde qui va l'exploiter. A mon avis beaucoup plus.
Et plus le nombre de victimes sera important.
D'autant plus que les newbies incapables de la trouver tout seul doivent être nombreux et vont probablement se ruer dessus puisqu'on leur a prémâché le boulot.
Et dans tout ça au delà de punir une entreprise pour avoir de longues procédures de vérification et pas nécessairement la main d'oeuvre disponibles, diffuser un PoC va potentiellement punir tous les utilisateurs qui eux, n'ont rien demandé à personne.
Autant je comprend le souci de mettre les entreprises au pied du mur pour un monde meilleur parce qu'elles ne sont pas assez réactives par rapport à la réalité de la menace, mais condamner les utilisateurs par la même occasion est inadmissible.
Ce n'est pas plus gratuit et sans fondement que de dire que diffuser publiquement un exploit améliore la sécurité. Plus une faille est discrète, moins les attaquants sont nombreux, perso je suis beaucoup plus rassuré de savoir qu'une faille concernant mes machines est confidentielle plutôt que connue de tous.
Pour moi c'est un peu comme si tu disais que distribuer des armes dans la rue augmentait la sécurité parce que la population était prévenue et allait pouvoir prendre des mesures.
Le problème que l'on voit ici, c'est que les personnes défendant la divulgation des failles, sont pour la plupart des personnes revendiquant l'usage massif, voir unique de logiciels open-source, et donc d'un OS basé sur Linux. Et, donc, complètement coupés des utilisateurs lambda, de la masse des gens qui ne sont même pas au courant de l'existence de failles de sécurité. Ils vivent dans un monde ou l'informatique est utilisée par des informaticiens, mais ne se rendent pas compte que derrière 90% des PC du monde entier, il y a des gens qui se servent de leur machine comme ils se servent de leur lave-linge ou de leur machine à café !
Répondre avec citation
Partager