Linux е отворена общност, където всеки, който открие грешка, може да я докладва и евентуално да я поправи. И тъй като това се случва напълно открито, всяка открита потенциална уязвимост на сигурността се споменава публично. И всеки път, когато част от софтуера бъде закърпена, се изтласква нова версия на този пакет и повечето Linux компютри в света получават тази корекция.
Това е теория, не практика.
Някой създава библиотека, тя работи и всички я използват. Кой провери тази библиотека за проблеми със сигурността? никой. Тогава някой може да започне да разширява тази библиотека с нова функционалност, така че кой проверява дали този човек може да напише защитен код? никой.
Ако нещо спре да работи, тогава много очи ще видят какво не е наред, но от съображения за безопасност получавате феномена на страничния наблюдател, някой друг ще го провери и в края на деня никой не го проверява.
И всеки път, когато част от софтуера бъде закърпена, се изтласква нова версия на този пакет и повечето Linux компютри в света получават тази корекция.
Linux работи основно на вградени устройства, работещи с Linux forks, и отне седмици с Log4j, преди да разберем кои устройства са уязвими и дори повече, преди всички тези производители да пуснат актуализации.
https://www.cybersecurity…4j-one-year-later/638416/
Според Brian Behlendorf, генерален мениджър на Open Source Security Foundation, кризата с Log4j подчертава дълбоките връзки между кода с отворен код и частния код и колко дълбок може да бъде стекът на зависимостите и инфраструктурата.
Това всъщност обобщава практиката, всеки използва кода на другия, кодът не е ничий и в момента, в който се появи сериозен проблем, той попада в паяжина, от която никой не може да се отърве.
Linux има още една функция, обикновено няма обикновен краен потребител зад екрана, който е лесен за заблуда, но иначе започва да става драма.
„Удобен за хипстър органайзер. Мислител. Комуникатор. Печелен с награди уеб нинджа. Типичен геймър. Зъл гуру на зомбитата. Фен на бирата.“