Люди, которые ищут в опенсурсе уязвимости с целью их устранения, делают это в основном эпизодически и на энтузиазме, а люди, которые ищут уязвимости для эксплуатации, делают это постоянно и получают за это хорошие деньги.
Давайте например спросим у a13xp0p0v, на каком энтузиазме он копается в ядре :)
Человек, заинтересованный поиском уязвимостей, будет этим заниматься вне зависимости от целей, доступности исходников и цветовой дифференциации шляп.
К сожалению, количество найденных незакрытых уязвимостей мы посчитать не можем, поэтому даже оценить разницу не получится.
Ну пусть эти люди обсыпаются пеплом. Принципиальная разница между открытыми и закрытыми исходниками в том, что найти проблему и рассказать о ней на порядки проще, только и всего, долгоживущими дырами после Shellshock уже сложно удивить.
В информационной безопасности фигуры умолчания неуместны.
Напомню вам про то, что безопасность достигается превышением стоимости эксплуатации над потенциальной выгодой, а неуязвимость согласно текущим знаниям — за горизонтом событий чёрных дыр.
не можем гарантировать, что в коде нет гораздо более изощрённых и опасных закладок, в т.ч. от правительств
100% гарантий в случае с большой и сложной кодовой базой не может дать никто, в отличии от возможности ловить за руку вредителей.
debootstrap накатывает эквивалент гентушного Stage 3 и тоже является полуштатным способом установки (debian-installer просто ещё и всю «магию» из статьи включает).
При моей работе в банке один соискатель на DBA не прошёл, потому что завёл на себя карту «для друга по его просьбе», по которой гнали чёрный нал. Да и вообще все случаи завала были с такими же интересными историями и доказательной базой.
Человек, заинтересованный поиском уязвимостей, будет этим заниматься вне зависимости от целей, доступности исходников и цветовой дифференциации шляп.
К сожалению, количество найденных незакрытых уязвимостей мы посчитать не можем, поэтому даже оценить разницу не получится.
100% гарантий в случае с большой и сложной кодовой базой не может дать никто, в отличии от возможности ловить за руку вредителей.
Для улучшения качества исполнения требований РКН о блокировках придумали КоАП 13.34.