Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

BootHole - virtually every Linux distribution is affected

[es] :: Advocacy :: BootHole - virtually every Linux distribution is affected

Strane: < .. 1 2 3 4 5 6 7

[ Pregleda: 13380 | Odgovora: 131 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
...kabel-badenwuerttemberg.de.



+7169 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 01:26 - pre 44 meseci
Ne znam da li si zaboravio vreme OS-eva sa sopstvenom "sistemksom" C runtime biblotekom.

Plus nisi bas mogao samo da zamenis kompajler ako su ti druge komponente linkovane sa sistemskom bibliotekom i nemas sors (ili ne mozes da im zamenis biblioteku iz drugih razloga).

Citat:

O čemu mi ono beše pričamo? O GRUB-u i 2020-toj godini? UNIX v7 (to su beše 70-te)? NetWare?


GRUB commit gde su uveli testiranje pointer-a pre free() je datiran: 29.07.2020

E, sad, mozda neko od GRUB-ovaca ima fetis i pokusava GRUB da instalira na Palm OS, Netware, 3BSD ili mozda neku masinu iz 70-tih sa UNIX v7 sistemom.

Ili, verovatnije, imaju neku danasnju platformu sa C runtime bibliotekom koja ne prasta.


DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 02:00 - pre 44 meseci
Kakva god da je sistemska biblioteka, kompajlerova je obmotava i ništa ne sprečava proizvođača kompajlera da u svoju funkciju ubaci proveru, pa poziv sistemske.

GRUB se inače ne instalira ni na jedan OS jer je preboot softver u pitanju.

Za svaki projekat, pa i GRUB važi da ne možeš da ga kompajliraš čime hoćeš, nego kompajlerom sa spiska podržanih od strane tog projekta. To može da bude i samo jedan kompajler.

Ako se recimo kompajlira GCC-om, onda se koristi GCC i binarni kod se instalira na PC kao preboot softver.

Dakle, GRUB nema nikake veze sa pravilima koja važe nakon dizanja OS-a koji podiže.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 09:55 - pre 44 meseci
Citat:
Branimir Maksimovic:
Moras praviti testove, po moguctstvu automatizovane, a to je vec posao koji zahteva ljude za to. Ako to nemas imas situaciju sa FOSS programima, kada na svaki apdejt drhtis da li ce ti se sistem uopste
butovati( ili nece) ili ces imati GUI (ili neces) ;)
Sto se tice test driven developmenta, kada se prvo pisu testovi, pa tek onda korisni kod, ne znam, to se zove i extreme programming i slicno, sve u nadi da ce biti manje bagova. Nije
to nastalo tek tako, nego sto je softver kompleksniji imas tih bagcica sve vise i vise i to je kao neki samo ime kaze extremni pokusaj da se to eliminise. Nisam nikada video neki
dokaz da to daje ploda i da se projekti zapravo na taj nacin ciste od bagova. Elem, sam otkrijem dobar deo svojih bagova, al dok neko drugi ne isproba ispadne da ima jos gro toga :P

Gledaj Bane:

Ja da organizujem proces, moj prvi cilj bi bio da team lead bude neko ko zna da nadje memleak citajuci kod. :) Sustina dobrog tima su ljudi - znaci treba mi senior koji ce da 30-40% radi code review ostalih clanova tima, nekih 20% bude na sastancima (vise bi ga smorilo) a 40-50% vremena i dalje programira - i to taskove koje on zeli, jer je team lead (naravno od ponudjenih).

Ali ne zelim da moj team lead provodi vreme citajuci kod koji ima greske koje i linter ume da nadje. To je ono sto pricam kad kazem "kultura" i "procesi". Zna to i Dimkovic.... Automatika nije svemoguca, ali pomaze. Eliminise gluposti i lenjost, pomaze juniorima da ne prave pocetnicke greske. Imas "picajzle", ja sam morao da pre par godina idem i cimam CTO-a, i dajem pisanu izjavu jer smo imali lika koji nije hteo da pusti kroz linter promenljive sa manje od tri slova.... Dzaba smo mu pricali da je krajnje normalno da se kolona u bazi zove "ID", on je procitao da mora da ima tri slova... ;)

Alat je alat, oni pomazu. Nema automatike koja moze da resi SVE probleme, ali moze da ti olaksa zivot. Sustina je da automatikom postignes tri cilja:

- Naucis pocetnike da ne prave greske koje automatika detektuje
- Iskorisits automatiku da ti prijavi poznate probleme (tipa "load-ujes modul koji ima prijavljen security problem, predji na novu verziju").
- Promenis nacina razmisljanja - da ljudi misle o kvalitetu onoga sto prave.

Ovo poslednje je najbitnije. Da, radije bi da zaposlim tebe i da ti platim da radis code reivew, ali da li bi ti, kao lead, radije provodio 30% vremena na code review, posle automatike, ili bi da provodis 70% dana na tome, jer moras da ispravljas ono sto moze i automatika? Vodi racuna da u timu skoro uvek imas 30% juniora, koji - su juniori.

Testovi su odvojeni od ove price. Oni sluze da ti omoguce da potvrdis da nesto elementarno radi. Imas testove koji se prave tako sto neko uzme browser, snima gde klikce i izgenerise skriptu iz toga. Onda to mozes da izvrtis posle svakog commit-a, izbildas ono sto si dobio i probas da li radi. Da li nadje sve bugove? Ne. Ali eliminise ocigledne greske i garantuje ti elementarnu funkcionalnost. Ako si pokrivo dovoljno toga testovima onda znas da ce sve da ti radi, na tom osnovnom nivou koji testiras. Naravno, mozes da se*es da ima beskonacno slucajeva i da si ti testirao samo konacan broj sto je realno nula procenata.... i da izmisljas razloge da ne radis nista - ali mozes i da prestanes i da konstatujes da time samo znas da stvari rade na nekom nivou.

Je'l mislis da neko radi test celog facebook-a svaki put pre nego sto naprave "release"? Jok. Radi se parcijalno, imaju automatske testove, ako prodju samo se to gurne u produkciju. Bukvalno svaki commit u "release", koji prodje testove, ide automatski na live. Ako produkcija prijavi greske u nekom broju/procentu imas i automatski sistem za rollback. No biggie. Zakacio si neki procenat korisnika, ali ne veliki, jer roll-out traje par sati. Ako si dobio greske, onda je sistem sam uradio rollback, neko dobija logove greski sa ciljem da popravi, a neko drugi sa zadatkom da napise test koji to pokriva. Ide sve paralelno....
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 10:06 - pre 44 meseci
Generalno, sta god uradis provuce se neki problem u zavisnosti od toga kolika je korisnicka baza. Uvek postoji mogucnost da tamo negde kod nekoga nesto podje naopako iako kod 99% korisnika to radi dobro. No ovo je FOSS,
gde ne postoji QA uopste i gde je navika da korisnici to rade....
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 10:42 - pre 44 meseci
Je li Bane, a zašto misliš da QA ne postoji u slučaju FOSS projekata?

Ja kod mnogih prilikom kompajliranja nalazim na make check, koji pokreće gomilu automatskih testova.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 12:17 - pre 44 meseci
Citat:
Branimir Maksimovic:
Generalno, sta god uradis provuce se neki problem u zavisnosti od toga kolika je korisnicka baza. Uvek postoji mogucnost da tamo negde kod nekoga nesto podje naopako iako kod 99% korisnika to radi dobro. No ovo je FOSS,
gde ne postoji QA uopste i gde je navika da korisnici to rade....

Pogledaj koliko ima testova u Linux kernelu? Ima ih BAS dosta.

Ovo nije F/OSS paket za crtanje, ovo je boot softver koji je deo ozbiljnih serverskih ponuda. Red Hat Enterprise Server, Oracle Unbreakable Linux (to su likovi koji su potpisani) imaju podrsku koja se placa. Ocekivao bi covek da Red Hat i Oracle imaju QA department za ovo... Ajde, secas se gde smo nas dvojica zajedno radili Oracle? Razmisli da dodjes i kazes nekom aerodromu "E, moracete da reboot-ujete server, pa ce, verovatno, da radi posle. Nadamo se" ... E, ti likovi su placali podrsku za Oracle i placaju je i sad. Stvarno mislis da bi to kod njih proslo? Ja verujem da je tamo sad tezak "sh*t hitting the fan" period...

edit: Inace, naravno da se provuce NEKI problem. Cilj je samo da ih ima sto manje. Zato ides prvo na automatiku, pa na seniore koji rade code review, pa.... zavisi kako radis. Ali "bice uvek neki problem" ne znaci da ne treba testirati.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 12:51 - pre 44 meseci
@Branimir Maksimovic


Manje-više što i ja mislim da nisi u pravu da FOSS nema QA (ozbiljni projekti bi trebalo da imaju QA, ali i novčanu konstrukciju).

Da li shvataš da razgovaraš sa zidovima?

Ljudi koji nisu ništa ozbiljno programirali u poslednjih 10 godina tebi sole pamet da uz ne znam kakve alate i procedure u 2020-toj godini ne može da se desi buffer overflow.

Za njih je bafer nešto što je jednom alocirano i jednom popunjeno. Nemaju pojma da postoji potreba da se bafer puni malo po malo.

Naravno, onda negde treba beležiti dokle se stiglo sa punjenjem, pa pošto alati za statičku analizu ne mogu da skapiraju značenje tih promenljivih i izvode jednostavne teoreme, da neće ni detektovati mogućnost buffer overflow-a čak i ako postoji.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.unitymedia.biz.



+7169 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 17:35 - pre 44 meseci
@Nedeljko,

Ljudi koje mislis da sole pamet su videli jako puno bagova, neki su mozda cak radili i FMEA samog procesa. Odatle su i dosle preporuke za koriscenje alata koji se pominju.

Ogromna vecina bagova su idiotski koje automatizovani alati i adekvatno testiranje otkrivaju. Drugi (isto tako pozamasan) deo biva otkriven code review procesom koji jednostavno odbacuje gomilu antipatterna i opasnog koda, mozda bez direktnog problema u tom momentu ali sasvim sigurno potencijalnog kontributora u buducnosti. Rezultat toga je bolji kod sa manjom sansom za trivijalne bagove koji su ubijeni jeftinijim procesom nego da ih otkrije musterija. Ako to nemas, musterija ti otkriva bagove i clanovi tima post-hoc popravljaju nesto sto uopste ne bi ni trebalo da se nadje u repozitorijumu.

Mozda ti kao veliki strucnjak i senior u timu to ne vidis zato sto neko drugi rasporedjuje gomilu tih budalastina drugima u timu, ali nemoj misliti da neko to na kraju ne mora da 'opravi.

"Heisenbug-ovi" kao i drugi komplikovani bug-ovi koji ne mogu biti automatski pronadjeni spadaju u manji % prakticno otkrivenih bagova u korisnickom softveru (ne pricam o nekim specijalizovanim alatima, simulacijama i sl.). Poenta automatskih alata je upravo da razvojni tim ima posla samo sa takvim bagovima, a ne da posle N godina postojanja projekta ubacuju stvari tipa proveru vracene vrednosti malloc-a i sl.

Umesto da ti covek koji je placen 6-cifreno gubi vreme sa trivijalnim stvarima, tu je razvojni proces koji takve stvari mahom otkriva tokom commit-a. Onda taj covek moze zaista da se pozabavi sa problemima koje nije moguce automatski otkriti.

GRUB bagovi pokazuju da ocigledno nemaju nikakav proces. Zato su sad morali da oprave hrpu budalastih bagova. O steti po ceo IT zato sto ce sad bog te pita koliko ljudi gubiti vreme sa bootloader-om da ne pricamo.

Ali, samo nastavi, bolje je da se GRUB ekipa krenula boriti sa autorima kompajlera.

Ne sumnjam da, sta god odluce, da ce Red Hat uvesti red bar kod sebe.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 18:44 - pre 44 meseci
Ovo sve pokazuje da ti i nkrgovic u poslednjih 10 godina niste ništa ozbiljno programirali i da ne pišete iz iole svežijeg relevantnog iskustva.

Buffer overflow može da ostane nedetektovan kroz sve te faze, alate i procedure.

Proveru vrednosti malloc-a naravno da treba raditi, ali je poslednja rupa na svirali, jer memorije u principu ima. Nije bag visokog prioriteta. Ako nigde ne vršiš proveru vrednosti malloc-a i to je jedini problem, problema u principu neće ni biti. Koliko ti se puta desilo da ti program kuka da nema dovoljno memorije? Ja sam uvek za pedantnost, ali čuj, to zaista nema toliko visok prioritet kao na primer buffer overflow ili pogrešan algoritam. Bag višeg prioriteta je računanje u pokretnom zarezu bez provere da li je vrednost NaN, ako je potrebna.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 21:20 - pre 44 meseci
Citat:
nkrgovic:
Citat:
Branimir Maksimovic:
Generalno, sta god uradis provuce se neki problem u zavisnosti od toga kolika je korisnicka baza. Uvek postoji mogucnost da tamo negde kod nekoga nesto podje naopako iako kod 99% korisnika to radi dobro. No ovo je FOSS,
gde ne postoji QA uopste i gde je navika da korisnici to rade....

Pogledaj koliko ima testova u Linux kernelu? Ima ih BAS dosta.

Ovo nije F/OSS paket za crtanje, ovo je boot softver koji je deo ozbiljnih serverskih ponuda. Red Hat Enterprise Server, Oracle Unbreakable Linux (to su likovi koji su potpisani) imaju podrsku koja se placa. Ocekivao bi covek da Red Hat i Oracle imaju QA department za ovo... Ajde, secas se gde smo nas dvojica zajedno radili Oracle? Razmisli da dodjes i kazes nekom aerodromu "E, moracete da reboot-ujete server, pa ce, verovatno, da radi posle. Nadamo se" ... E, ti likovi su placali podrsku za Oracle i placaju je i sad. Stvarno mislis da bi to kod njih proslo? Ja verujem da je tamo sad tezak "sh*t hitting the fan" period...

edit: Inace, naravno da se provuce NEKI problem. Cilj je samo da ih ima sto manje. Zato ides prvo na automatiku, pa na seniore koji rade code review, pa.... zavisi kako radis. Ali "bice uvek neki problem" ne znaci da ne treba testirati.

Ajde da odgovorim Nedeljku i tebi u paketu. Ti testovi koje piše developer, su samo provera da osnovne stvari rade kako je predviđeno, nikako nešto što pokriva sve slučajeve. Naravno pišeš neku funkciju pa i test za tu istu, ali bez qa nema ništa od otkrivanja bagova. Što se tiče FOSS-a, dobro znam da bar 5% korisnika ima neki problem nakon svakog apdejta, i da mnoge stvari ne bi prošle da postoji qa. Baš u kernelu prolaze takve regresije, da drajv er ne radi ili da je potreban patch da nekom nešto proradi... generalno, čak i ako se plaća developer, nema se para za qa. Zbog toga enerprize, android, ruter firmware i slično laguju i po više godina za aktuelnim verzija ma...
 
Odgovor na temu

Srđan Pavlović
Specijalna Edukacija i Rehabilitacija MNRO
Vojvodina, Bačka Palanka

Član broj: 139340
Poruke: 5571
*.dynamic.isp.telekom.rs.

Sajt: www.oligofrenolog.com


+382 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 21:31 - pre 44 meseci
Eo ispravio sam sve bagove u grubu:

/sbin/lilo -v

:D
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 22:00 - pre 44 meseci
Citat:
Branimir Maksimovic: Ti testovi koje piše developer, su samo provera da osnovne stvari rade kako je predviđeno, nikako nešto što pokriva sve slučajeve.

Testovi koji pokrivaju sve slučajeve su praktično nemogući.

Ono što može, to su razne metode kojima se povećava verovatnoća detektovanja greške ako greška postoji.

Recimo, da li je se prilikom izvršavanja testova svaka naredba izvršila barem jednom.

Međutim, garancije da će bag biti detektovan ako postoji ne postoje, već samo uslovna verovatnoča detekcije baga ako on postoji, koja se nekim metodama povećava.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 22:07 - pre 44 meseci
Citat:
Branimir Maksimovic:
Ajde da odgovorim Nedeljku i tebi u paketu. Ti testovi koje piše developer, su samo provera da osnovne stvari rade kako je predviđeno, nikako nešto što pokriva sve slučajeve. Naravno pišeš neku funkciju pa i test za tu istu, ali bez qa nema ništa od otkrivanja bagova. Što se tiče FOSS-a, dobro znam da bar 5% korisnika ima neki problem nakon svakog apdejta, i da mnoge stvari ne bi prošle da postoji qa. Baš u kernelu prolaze takve regresije, da drajv er ne radi ili da je potreban patch da nekom nešto proradi... generalno, čak i ako se plaća developer, nema se para za qa. Zbog toga enerprize, android, ruter firmware i slično laguju i po više godina za aktuelnim verzija ma...

Bane, nije cilj da se nema QA, naravno da treba QA. Naravno da treba i neki "Bane" koji radi code review. Sve to treba. I naravno da i pored toga moze da se nadje bug, koji je glup ali gadan....

Ja sam imao bug koji sam nasao coveku posle analize kako radi JWT token, jednostavno lik je imao 5 sajtova i na svima isti secret. Fora je sto je sajt 1 imao 20x vise clanova nego sajt 3 - i onda ti lepo otvoris nov nalog na sajtu 3, uzmes token i udjes na sajt 1 sa necijim tudjim nalogom, ali istim ID-em.... Ovo nijedan alat nece nikad da nadje - jer nema veze izmedju sajtova. Ne moze. Bug nije bug u kodu, vec u ljudskoj logici. Ne deluje bitno, ali sajtovi su bili EU, pa je to znacilo da korisnik vidi podatke drugog korisnika, pa uskace GDPR... :) Znas li zasto je bug pronadjen? Zato sto smo imali proces i zato sto smo pricali o tome i zato sto sam ja slusao nesto sto nije imalo direktne veze, ali smo imali stav "ako vidis bug pricamo o tome". Dimkovic moze, ako ga ne mrzi, da objasni koliko "user X vidi privatne podatke user-a Y" boli firmu koja je deo EU, sad kad je GDPR u igri....

Ponovo, bitan je proces. Ako dev X pise kod i zna da ce neki junior da napravi testove, da ce QA da napravi druge testove i da ce "Bane" da radi review - on ce da vodi malo racuna. Ako mu kazes "slobodno odvoj vreme da pises bolji kod" - on ce to i da radi. E to je fora.

Ako mu kazes "ma ti si do jaja baja, mnogo si pametan, samo cepaj commit i ne brini" - onda on pise "1337 c0d3", a ne brine o bagovima. Ako mu das da on "misli" sta je realno a sta ne, onda ce on da misli sta je realno za njega - a ne da li to boli end usera, ili da li neki Security baja vidi sebi ufur... zato sad i guraju DevSecOps pricu gde se security radi od day 1, ukljucujuci i pisanje testova za security, i rucno security testiranje i security team ukljucen u projektovanje.... Evo, ovaj konkretan grub bug: Prilicno sam siguran da niko nikad u realnom zivotu nije imao buffer overflow u grub-u i da je grub pukao zbog toga. Neki dev tu ne vidi veliki problem - sto bi mislio o necemu sto se ne kvari... Neki security specialist tu vidi rupcagu. :)

Dodatno, ono sto je bitno je: U sistemu gde sve ide manuelno, proces izgleda ovako:

- PM pise task developeru
- Dev pise kod, radi commit
- Dev pise note u Jira-i za PM-a
- PM pise task Ops-u da deploy-uje nov build na test env
- Ops radi deploy
- Ops pise note PM-u
- PM pise task QA-u
- QA testira, nalazi bug
- QA pise note PM-u.
- PM pise task dev-u da ispravi bug

U medjuvremenu proslo dva dana (minimum, mozda i vise), dev vec radi nesto drugo. On sad prekida to ili ne? Haos.

Uporedi to sa:

- Dev uradi commit i push
- Dev ode po kafu i da zapali dok prodje pipeline
- Dev dobije error koji moze odma da popravi, ili mu pipeline prodje.
- Dev trazi MR, ode na rucak
- Dev dobije od "Baneta" sta da ispravi za pola sata ili sat.

Ako ovo resi samo 50% problema, ustedeo si BRDO vremena. Again, code review: Ultra bitan. QA takodje. Ali testove pomazu.

Vodi racuna: QA pise neke testove. QA svaki put kad potvrdi bug pravi test koji testira tacno taj scenario. QA pravi test koji testira sve klasicne user scenarije. QA pravi testove koji njima imaju smisla. Ne mora QA ni da programira, koristi alat koji snima kliktanje i onda se radi replay.... :) Bitno je da QA zna kako radi softver i zna da reprodukuje bugove. Naravno, nisi testirao sve, ni blizu. Ali, ako spojis dev-ove koji testiraju da sve radi kao sto misle da treba, i QA koji testira funkcionalnost, onda uglavnom radi OK... I dalje nije sjajno, i dalje imas bugove, da. Ali manje.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: BootHole - virtually every Linux distribution is affected02.08.2020. u 23:31 - pre 44 meseci
Ja uporno pokusavam da kazem zasto se tako pojavljuju bug-ovi u FOSS softveru: sve dok neko ne pogleda, kao u ovom slucaju.... mada mislim da je bug u opnessh bio mnogo kriticniji...
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: BootHole - virtually every Linux distribution is affected03.08.2020. u 02:07 - pre 44 meseci
TDD je nekad bio "extreme programming", danas ga ne bih nazvao tako. Ajd imaj u primeru da ja pravim neki API, neka bude u PHP mada je to stvarno irelevantno. Meni da bih video da li mi API radi, treba http klijent preko kog bih slao zahteve. Ja za to moram da koristim Postmana ili napisem klijentsku aplikaciju jer moram da cuvam negde token, ili da napravim neku mini python aplikaciju koja ce da radi sve to.

Ako pisem testove, sto bih morao to da radim? Phpunut ce poslati post/get request, ja cu proveriti da li je json onakav kakav treba da dobijem, da li je status 200 ili kakav treba da bude, provericu situaciju u DB, potom cu napisati novi test kontradiktiran tom i to je to. Nema nista "ekstremno" cak i da pocinjem od testa koji ce failovati, jer opisujem ono sto zelim da radi kako zelim da radi.

Ali da, postoji taj problem da je nemoguce testirati svaki usecase. Bukvalno kolicinom funkcionalnosti kvadratno raste i kolicina testova koja treba da se pise. Mada se zato ne radi na kolicini testova, nego na recimo validaciji... opet se vracam na ono sto sam pisao pre 20ak postova a ne verujem da je iko procitao, ljudi ne pisu ni osnovne testove. A fora kod osnovnih testova je kad ti neko prijavi bag, ti napisi takav test, nek ti fejluje, onda lepo TDD dok ne pozeleni i ispravio si bag. TDD moze da se koristi i na prosirenju postojecih aplikacija.
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.dynamic.isp.telekom.rs.



+2789 Profil

icon Re: BootHole - virtually every Linux distribution is affected03.08.2020. u 02:18 - pre 44 meseci
Bane, nemaš kome da pričaš.

Code review rade ljudi, a iz istorije matematike (koja je za one koji dobro znaju oboje isto što i programiranje) je poznato da su i najveći umovi pravili najelementarnije greške.

To ne znači da code review nije neophodan, već da ne postoje srebrni meci, čarobni štapovi i slično.

Drugim rečima, tvrditi da ne postoji propisna procedura koja se temeljno sprovodi, samo na osnovu toga što je pronađen buffer overflow bug je čisto lupetanje.

GRUB možda ima temeljnu proceduru, a možda je i nema. Ako je ima, buffer overflow bug u C-u itekako može da se provuče, tako da je navedeno zaključivanje neosnovano i ne potiče od nekoga ko ima iole ozbiljnog svežeg iskustva.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Srđan Pavlović
Specijalna Edukacija i Rehabilitacija MNRO
Vojvodina, Bačka Palanka

Član broj: 139340
Poruke: 5571
*.dynamic.isp.telekom.rs.

Sajt: www.oligofrenolog.com


+382 Profil

icon Re: BootHole - virtually every Linux distribution is affected03.08.2020. u 04:54 - pre 44 meseci
Buduci da je znacajan deo exploita zasnovan na raznim buffer overflow,
da li metode kao Canaries, Bounds checking, Tagging... pokrivaju sve moguce scenarije
u kojima bafer moze da se prelije, tj. da li bi striktnom proverom svega ovime
bile izbacene sve mogucnosti za prelivanja? Da li recimo -fstack-protector-all u GCC resava
sve ili opet moze da se prelije bafer u nekom scenariju?
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: BootHole - virtually every Linux distribution is affected03.08.2020. u 06:23 - pre 44 meseci
Nedeljko, da ne postoji qa je to sto su ipravke tih bugova izazvale da ljudima sistemi nece da butuju.

Srdjane stack protektor moze da detektuje samo overflow na steku i to onda kada se probije ceo stek, znaci ne otkriva overflow
niza koji recimo gazi neke varijable na steku...

 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12846



+4783 Profil

icon Re: BootHole - virtually every Linux distribution is affected03.08.2020. u 07:24 - pre 44 meseci
@Zlatni_bg, kako proveravas da li su testovi ispravni? Mislim, svakako mozes imati bug i u testu. Kako se povecava broj testova, tako se povecava i mogucnost da oni imaju neki bug.
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: BootHole - virtually every Linux distribution is affected03.08.2020. u 07:51 - pre 44 meseci
Tako sto mi svaki test ima gomilu asertacija/provera u odvojenim sekvencama. Uz to, nemam samo izolovane testove za jednu funkcionalnost vec i glomaznije testove za kompletan usecase. Naravno konkretniji odgovor bi morao da ima konkretnije pitanje, svaka situacija je situacija za sebe :) Ako test prolazi sa ispravnom datom, a drugi test sa neispravnom datom koju test ocekuje kao neispravnu, kapiram da sam pokrio veci broj slucajeva.
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

[es] :: Advocacy :: BootHole - virtually every Linux distribution is affected

Strane: < .. 1 2 3 4 5 6 7

[ Pregleda: 13380 | Odgovora: 131 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.