Комментарии 205
Не не пора ли уже законодательно запретить отказ от ответственности в пользовательских соглашениях? Ибо у эффективных менеджеров так: если нет материальной ответственности, то и незачем тестировать, и эта ситуация будет повторяться снова и снова.
Тогда зачем мне вообще эти риски оказаться засуженным на 100500 млн долларов за то, что не проверил совместимость на всех и каждой конфигурации?
Да пора уже сажать, за то что пишешь код.
Ибо всем известно - не написаный код не имеет багов.
Если Вы строитель и построили дом, который по Вашей вине обвалился и убил жильцов, то да, Вас посадят. Пора тем кто производит софт вырасти из коротких штанишек.
Тогда я просто буду релизить свой софт анонимно. Потому что мне, как разработчику СПО, нафиг не уперлось писать код бесплатно, да ещё и за это сидеть.
Если продолжить аналогию с домом, то ваш анонимный проект в любом случае должен сначала пройти экспертизу. Которая проверит, что дом хотя бы не развалится. И только после этого дом разрешат строить. И у этой экспертизы будет вполне конкретное и не анонимное лицо ответственного. В отличие от ИТ, где "вы там сами как-нибудь последствия разгребайте, у нас в лицензии отказ от ответственности же прописан!"
Давайте так: если будут платить хотя бы x50 к зарплате с гарантией получения трех-четырёх небольших пентхаусов в Нью-Йорке (можно не сильно в центре, я не жадный) после отсидки за каждый баг, то я согласен.
Рынок сам порешает
Ну проблема не в деньгах. Проблема в том, что ИТ-отрасль давно уже выросла из коротких штанишек и стала одной из критически важных для существования, но все упорно не хотят переводить её во что-то серьезное.
Это как если бы хим.завод мог построить любой и где угодно без хоть каких-то проверок. Оно примерно так и было лет 200 назад. Но потом пришло государство и сказало, что больше не хочет устранять последствия - и ввело лицензирование с регулярными проверками всего-всего.
Так вот, ИТ в целом до соответствующей стадии дошло уже как минимум 15 лет назад. Пора меняться.
Пора меняться
Без проблем. За чей счёт будет банкет? Если никто не готов платить, даже пользователь, то се ля ви - текущее положение дел, видимо, устраивает всех.
Вот выше писали: "Рыночек порешал" - и ИТ-работники вполне довольны тем, что рынок решает именно в пользу работников.
Ну в других отраслях мы же как-то пришли к текущей ситуации с проверками, контролем и разрешениями? Чем ИТ уникальнее-то? Всей разницы, что "завод" можно за копейки создать сняв офис, а не строить его 5 лет
Может тем, что скорость важнее качества? Ценее иметь свежий антивирус/программу с свежими обновлениями безопасности, чем проверенную, но уже уязвимую версию.
Ну баланс нужен же. Т.е. у нас сейчас по сути весь софт пишут именно на скорость, вместо качество. Обратное большинству организаций просто недоступно. И не потому что дорого, а потому что просто нет. Вы сегодня не сможете купить другой антивирус с упором на качество - таких просто нет.
Может сейчас все в балансе и есть ? Есть особенности отрасли. Если самолет годы не выпускать обновления, то он как летал, так и будет летать. А вот ит-системах будут находить все новые дыры и если быстро не закрывать, то ущерб от условных хакеров в разы больше. Или, что еше более важно, ты не контролируешь всë. Ты может все правильно написал, а потом пришло обновление чужого софта и это сломало твой код. Что и произошло, обнову выпустили clowdstrike, а все пишут, что винда кривая, и как после этого можно брать отвестенность, что все будет работать?
Ну сегодня для самолетов с известными багами будут или вообще отозваны летные сертификаты, или будут введены ограничения.
Если в ПО автомобиля будет какой критичный баг - всю линейку принудительно отзовут и накатят обновления за счет производителя (вы, лично вы, можете и отказаться, но большинство - обновятся).
Т.е. еще раз: есть специальные организации, которые проверяют, что это всё - достаточно безопасно. Пишут рекомендации, проверяют, что производитель им следует. Наказывают тех, кто игнорирует. Пишут стандарты "как точно не надо делать".
Что из этого есть в ИТ? Добровольный аудит и автотесты у самого производителя?
Ты может все правильно написал, а потом пришло обновление чужого софта и это сломало твой код.
После этого пришла соотв. организация (в ИТ такой нет), провела расследование и выяснила причину. Написала документ "как нельзя делать" и распространило его среди производителей.
Если в следующий раз кто-то сделает ровно такую же ошибку - его будут бить в первую очередь именно за то, что он нарушил эти рекомендации. Т.е. его предупредили, он не внял - это уже не случайность.
Такой подход, кстати, в материальном мире приводит к концентрации некоторых критичных вещей в отдельных предприятиях. Т.е., условно, ядро антивируса пишет ограниченное количество производителей именно потому, что надо соблюдать 100500 накопившихся требований "как точно не надо делать", а это могут не все. А конечные производители антивирусов сидят поверх этого ядра и пилят к нему доп.рюшечки, которыми они при всём желании не могут совершить глобальный факап. Т.е. факап из ранее известных - подчеркну. Всегда можно изобрести новый способ факапнуться )))
Вас же не удивляет, что, например, корпуса для огнетушителей производят одни компании, а заправку - вообще другие? Почему с условными антивирусами так делать нельзя?
P.S.: Я надеюсь понятно, что этот пример немного высосан из пальца и всё будет намного сложнее.
Я вполне себе видел отзыв обновлений софта. Просто есть разница, что в машинах ты с проблемой можешь вообще не столкнуться, а в ит, за счет скорости распространения, проблема сразу у кучи людей появляется.
И этот пример показывает, что даже сертификация не снижает проблемы в 0, они всё равно остаются. Не говоря о том, что сертификация может ещё хуже сделать, вот есть импортозамещение, компании сделали тестовый образец, прошли сертификацию, а поставляют вообще не то, что сертифицировали. А компании которые честные, те сертификацию пройти не могут и в итоге станет еще хуже. А сейчас будет перебалансировка, часть компаний уйдут от clowdstrike без всякой сертификации, ибо они жестко накосячили. И в итоге будет улучшение софта. Из смешного, я как-то общался с людьми, они хотели написать свой форк vnc, ибо в какой-то версии была уязвимость, а они серьёзная организация и им запретили использовать какой-то клиент vnc. Причем они юзали другой клиент, в котором уязвимости этой не было, но форкнуть из-за бюрократии надо было. Никакой ценности в этой работе нет, но вот им пришлось этим заниматься.
И самое важное, в авиации есть сертификация и там те же самые вещи просто стоят в десять раз дороже. И это не убило обычные вещи, просто не везде нужно такое качество. Поэтому есть вещи для авиации, и попроще. Не везде нужно идеально качество, я сам писал код без тестов, просто потому, что они все равно не дали 100% гарантии и ущерб от падения был низок, что было выгоднее чинить, чем пытаться избежать падения. А есть вещи, где ты упарываешься за качество, ибо риск велик.
Никакой ценности в этой работе нет, но вот им пришлось этим заниматься.
Ценность есть. Вы не с той стороны смотрите, поэтому её не видите. Компания теперь будет иметь свой собственный контролируемый софт. Т.е. это как если условный Автоваз вместо закупки бамперов у внешних поставщиков начинает делать их сам. Это может быть даже дороже, но теперь компания не завязана на внешние поставки и имеет бОльшую свободу маневра (одномоментно изменить количество продукции, например, а не ждать 5 лет пока контракт истечет)
Не везде нужно идеально качество
Никто и не предлагал так делать. Но есть места, где оно должно быть именно таким. На данный момент не существует организаций, которые могли бы принудить делать качественно в этих местах.
А есть вещи, где ты упарываешься за качество, ибо риск велик.
Не всегда можно доверяться оценкам риска от самого производителя. Потому что у него давлеет баланс затраты/прибыль/цена_конечной_продукции, а дополнительная надёжность - это всегда дороже. Т.е. всё равно нужен кто-то, кто принудит компании делать отдельные вещи более дорогим, но и более надежным образом, ибо сами добровольно они это делать не будут.
Компания теперь будет иметь свой собственный контролируемый софт.
Я уверен, что в этом случае будет не так, сделают форк, чтобы от них отстали, никто не будет вливать фиксы по безопасности и дыр в безопасности будет всё больше. Слишком маленький там ит-отдел, чтобы позволить себе поддерживать это.
На данный момент не существует организаций, которые могли бы принудить делать качественно в этих местах
И то, что нет это неправда, боинг из-за проблем с софтом словил кучу проблем. Просто опосредованно. Или касперский ушел из США. Или у сделали свой процессинг платежей в России и когда ушли мастеркард с визой у нас всё не развалилось. И этот инцидент может и выглдядит страшно, но такого уровня инциденты не так часто бывают, может проще принять тот факт, что есть черные лебеди и невозможно сделать систему без ошибок и всегда будут подобные проблемы.
И у регуляции есть большой минус, она мешает внедрению новых технологий. А все новые технологии будут с проблемами. Может стоит регулировать результаты, а не то, как они были достигнуты?
Я уверен, что в этом случае будет не так, сделают форк, чтобы от них отстали, никто не будет вливать фиксы по безопасности и дыр в безопасности будет всё больше. Слишком маленький там ит-отдел, чтобы позволить себе поддерживать это.
Ну и такое возможно, да. Но это же следствие отсутствия мотивации. Ну т.е. нет никаких причин для компании делать хорошо. Нет и никого, кто бы её наказал за сделанное плохо. А одна экономика требует делать как можно дешевле, что прямо противоречит требованиям безопасности и качественности.
И то, что нет это неправда, боинг из-за проблем с софтом словил кучу проблем.
Софт для них писали на аутсорсе, как я помню. Причем последние проблемы боинга - итог дикой экономии, чтобы не пересертифицировать новую модель самолета. Что и вылилось в софтовые проблемы, т.к. ими затыкали дыры в проектировании железа даже там, где это делать было не нужно.
По идее, теперь должны прийти контролирующие-регулирующие органы государства и прописать в документах (на будущее), что именно вот таким образом разработку самолетов вести не надо.
может проще принять тот факт, что есть черные лебеди и невозможно сделать систему без ошибок и всегда будут подобные проблемы.
Так это понятно и никто не требовал делать на 100% надежно. Суть в том, что в ИТ сегодня прилетевший черный лебедь в одной компании вообще никак не влияет на код в другой компании. Потому что ни передачи опыта, ни внешних ограничений "как делать точно не надо" в отрасли просто нет. И организаций нет, которые бы это хоть как-то пытались распространить среди участников. А в других отраслях такая система есть и отлаживалась веками
И у регуляции есть большой минус, она мешает внедрению новых технологий.
Ну так не весь же софт обязан регулироваться - я об этом уже писал много раз. В домашнем сегменте внедряете, ловите проблемы, потом это всё перетекает в критичный софт, где нужнее надежность. Если очень много домашних пользователей пострадает - придет государство, расследует и ограничит на будущее (чтобы не повторилось) не только вас, но и вообще все компании, которые пишут софт такого типа. Что в таком подходе плохого-то?
По идее, теперь должны прийти контролирующие-регулирующие органы государства и прописать в документах (на будущее), что именно вот таким образом разработку самолетов вести не надо.
А зачем? Государство и так к к ним пришло, я думаю они поняли, что что-то сделали не так. Я знаю компании которые не берут удалённых сотрудников, ибо у них плохой опыт. Но это не значит, что все компании не должны так делать, просто у них это не получается. но это не значит, что все так должны делать. То, что они на аутсорс отдали не значит, что весь аутсорс плох. И ущерб от излишней регуляции может быть больше, чем польза. Все будут боятся сделать что-то новое, не по правилам, что может привести к прорыву.
Суть в том, что в ИТ сегодня прилетевший черный лебедь в одной компании вообще никак не влияет на код в другой компании.
Необоснованное утверждение.
Ну так не весь же софт обязан регулироваться - я об этом уже писал много раз.
Софт уже регулируется https://1c.ru/rus/products/sert.htm вот например. Не говоря о примерах в прошлых сообщениях.
Все будут боятся сделать что-то новое, не по правилам, что может привести к прорыву.
Что такого нового вы побоитесь сделать, если у вас будет пачка бумаг, с описанием "как делать нельзя"?
Я уже даже не говорю о том, что некоторые компании давно уже надо прям показательно побить: ту же cisco, например. Или Siеmens. Просто по совокупности - за количество косяков в ПО.
Необоснованное утверждение.
Каким образом другие антивирусные компании сегодня узнают о том, что привело к проблемам у Crowdstrike? Вон, компания отписалась, что там обращение к неправильному участку памяти было - а что привело к написанию такого кода? Кому-то из конкурентов они исходники покажут что-ли?
Софт уже регулируется
И как? Работает? Может пожёстче регулировать уже надо? А то как-то многовато сбоев последнее время, вам не кажется?
Так пусть тот, кто хочет этот проект использовать, и проводит экспертизу. Ну если считает нужным. И за свой счёт.
Кто запрещает это делать?
Так исходники закрыты же - частная собственность. Это как экспертиза уже построенного здания, но вообще без чертежей. Какие-то яркие проблемы так найти всё равно можно, да. Но ты при такой экспертизе никогда не узнаешь, что несущая колонна неправильно рассчитана и через год рухнет.
Человек выше пишет что он разработчик СПО. Почему его исходники должны быть закрыты?
Я не обратил внимание и, соответственно, писал про более типичный случай с платным закрытым ПО.
Ну даже если и СПО - его софт просто не должны использовать в нормальных конторах. Не потому что софт чем-то там плох, а именно потому, что он не проверен (и, соответственно, не лицензирован).
Ровно так же, как любая крупная фирма не будет покупать обеды для сотрудников с рук у бабушки в переходе. Не потому что та плохо готовит. А потому что ей нельзя доверять, качество никто не проверял и хуже того - оно ещё и не гарантированно. Т.е. сегодня может быть хорошо, а завтра - отрава. Потому что исходные продукты у неё опять-таки не проходят никакого контроля качества.
Т.е. я не про то, что магическая бумажка с лицензией от государства нам поможет. Я про то, что лицензирование в целом тянет за собой целый ряд мер по контролю качества. Которых сейчас в ИТ, по сути, нет (за редким исключением). А то, что есть, делается исключительно по желанию самого же разработчика и в той мере, в которой он сам считает нужным.
Вообще, бесконечная череда факапов сотен крупнейших международных компаний примерно с начала ковида просто прям таки наглядно намекают на проблему с качеством ПО.
Ну даже если и СПО - его софт просто не должны использовать в нормальных конторах
Что такое "нормальная контора"? Как я уже писал где-то рядом: если кому-то нужен безопасный софт, то это его задача найти такой софт. Делать абсолютно весь софт в мире абсолютно зарегулированным и безопасным не имеет никакого смысла.
То есть если для кого-то не страшно что раз в несколько лет у него все компы лягут из-за антивируса, то зачем ему переплачивать за "абсолютно безопасный антивирус"?
Что такое "нормальная контора"?
Относительно крупная. Не условный СТО "У Васяна" с тремя сотрудниками.
Как я уже писал где-то рядом: если кому-то нужен безопасный софт, то это его задача найти такой софт.
Не спорю. Просто проблема сейчас именно в том, что такого софта, по сути-то и нет. Т.е. в большинстве случаев даже выбирать не из чего. И даже то, что есть, оно кроме бумажки ничем не отличается от нелицензируемого софта - и точно так же внезапно факапится.
Делать абсолютно весь софт в мире абсолютно зарегулированным и безопасным не имеет никакого смысла.
Но уж настолько системный софт - должен быть гарантированно проверенным. Т.е. вообще без вариантов. Не должна была возникнуть ситуация с обновлением, которую мы сейчас наблюдаем.
То есть если для кого-то не страшно что раз в несколько лет у него все компы лягут из-за антивируса, то зачем ему переплачивать за "абсолютно безопасный антивирус"?
Ну это удел мелких фирмочек, от которых, по сути, ничего и не зависит. И нанесенный экономический ущерб в масштабах государства ни на что не влияет.
Но когда из-за антивируса перестают работать томографы и аэропорты - тут что-то явно не то. И речь не о конкретном антивирусе уже, а о самом подходе к софту.
Но уж настолько системный софт - должен быть гарантированно проверенным.
Более проверенным чем самолёты или даже АЭС? :)
Но когда из-за антивируса перестают работать томографы и аэропорты - тут что-то явно не то.
Конечно. Но как говорится shit happens.
Теперь Crowdstrike потеряет кучу клиентов и следовательно денег.
Скорее всего где-то ему даже придётся платить штрафы. Ну то есть когда работаешь с крупными компаниями, то там далеко не всегда удаётся отмазаться от ответственности в пользовательских соглашениях.
Более проверенным чем самолёты или даже АЭС? :)
Хотя бы на таком же уровне. Что-то АЭС на планете не так уж часто ломаются прям чтобы критично было.
Конечно. Но как говорится shit happens.
Да я и не спорю. Бесконечно-надежный софт недостижим. Но и то, что происходит сейчас - тоже не дело. Достаточно просто ИТ новости полистать за последние лет 5 - там постоянно в основе именно проблемы качества софта (или качества безопасников фирм - что тоже весело).
Теперь Crowdstrike потеряет кучу клиентов и следовательно денег.
Ну даже если закроются - что это изменит? Другие антивирусы тоже уже неоднократно сносили системные библиотеки винды, например.
Еще раз повторюсь, проблема не в ПО конкретной компании. А в подходе к разработке критичного ПО в целом по миру. Это ж сегодня так у всех, в любой стране, куда не ткни.
Что-то АЭС на планете не так уж часто ломаются прям чтобы критично было.
Их просто очень мало. Если бы АЭС на планете было столько же, сколько клиентов у CrowdStrike, то критические сбои софта случались бы каждые несколько лет.
Тут все же придется тогда углубляться в причины сбоев. Имхо, после череды неудач в начале развития отрасли именно базовая часть АЭС сейчас вылизана так, чтобы даже при наихудшем раскладе все процессы смогли корректно остановиться самостоятельно. А то, что там где-то рядом турбина или генератор отрубились - это же не критичный сбой, с ним можно жить (т.е. сообщение об ошибке, а не синий экран).
Хотя бы на таком же уровне
Зачем? Чтобы софт стал ещё дороже?
Что-то АЭС на планете не так уж часто ломаются прям чтобы критично было.
Сколько в мире было АЭС? Сколько более-менее серьёзных аварий? Я бы не сказал что процент будет такой уж и низкий. И это при том что там куча регуляций, которые стоят кучу денег.
Достаточно просто ИТ новости полистать за последние лет 5 - там постоянно в основе именно проблемы качества софта
Может быть потому что просто "количество" софта растёт? Сколько там у нас миллионов строк кода в средней машине?
А в подходе к разработке критичного ПО в целом по миру.
Что такое "критичный софт"? Почему антивирус от Crowdstrike является критичным кодом?
Зачем? Чтобы софт стал ещё дороже?
Чтобы был выбор между "дорогим И надежным" и "дешевым, но без гарантий". Сейчас на рынке существует исключительно "дешевый, но без гарантий" софт. Вы в принципе не сможете купить что-то иное, его не делают.
Сколько в мире было АЭС? Сколько более-менее серьёзных аварий?
Тысячи. Десятки тысяч. Но реально критичных (уровня синего экрана винды) - единицы. Вряд ли сильно больше нескольких сотен за всё время - учитывая те реакторы, что из-за таких проблем и вывели из эксплуатации на совсем.
Может быть потому что просто "количество" софта растёт?
Да где ж оно растет? Каждая АЭС немного отличается от другой. Куча производителей каждого компонента - и они тоже все немного по-разному делают.
А критично-системный софт делает ограниченный набор компаний.
Сколько там у нас миллионов строк кода в средней машине?
Вы, кстати, погуглите отчеты про качество софта, например, в автомобилях. Там тоже миллионы строк кода: только там вообще никто не заморачивается баги чинить.
Мне не кажется такой подход нормальным. Ну т.е. мне очевидно, что в какой-то момент это всё неизбежно сбойнет глобально. И чем дольше такой подход к разработке живет - тем выше шансы, когда "один залетевший дятел погубит цивилизацию".
Что такое "критичный софт"?
Критичный - это от которого зависит ВСЯ работа всего остального корпоративного софта. ОС, драйвера, системные библиотеки, антивирусы (и другие средства безопасности). Т.е. то, без чего просто нельзя работать если оно ломается.
Почему антивирус от Crowdstrike является критичным кодом?
Потому что он реализован как драйвер и крашит систему из-за своего сбоя. Если бы крашился только он сам - вопросов бы не было. Но он же ломает всю систему и работать дальше нельзя.
Какой-нибудь МС Оффис - не критичный софт, ему есть альтернативы, которые вы сможете использовать прям сразу если тот сбойнёт. В случае же критичного софта - начинаются танцы с бубном, потому что работать вы уже не можете вообще никак, в принципе.
Чтобы был выбор между "дорогим И надежным" и "дешевым, но без гарантий".
Ну так этот выбор и сейчас есть. Есть куча фирм, которые напишут вам любой код. Только платите.
Тысячи. Десятки тысяч
Можете привести ссылку на то откуда у вас такая информация? Гугл говорит мне про 440-500 реакторов в мире.
Да где ж оно растет?
Везде. Просто везде. Посмотрите вокруг. Всё больше вещей с софтом внутри. Всё больше различных услуг и сервисов. Программ, приложений, игр и так далее и тому подобное.
Потому что он реализован как драйвер и крашит систему из-за своего сбоя.
Вас кто-то заставляет его ставить? Ну то есть не хотите и не ставьте. Тогда он вам систему не обрушит. И проблемы не будет.
Или всё таки даже такой антивирус лучше чем никакого? И даже имеющиеся сейчас ОС, драйвера и прочее лучше чем не иметь никаких?
Есть куча фирм, которые напишут вам любой код. Только платите.
Вы как-то очень сильно передергиваете. Никто не будет вам писать свой индивидуальный антивирус и потом его поддерживать. Это никогда не окупится. Это как вместо массового Боинга купить индивидуальную модель, причем с разработкой с нуля всех чертежей. При том, что вы легко можете купить тот же Боинг с нужными модификациями салона - хоть сколь угодно уникальными. Ценники будут отличаться на несколько порядков
Гугл говорит мне про 440-500 реакторов в мире
Ну ладно, не десятки. Тысяча +/- - если включая закрытые и экспериментальные. Что это число принципиально меняет? Уникальных и популярных (где много пользователей и критичность выше) антивирусов как было меньше сотни на всю планету, так и осталось
Везде. Просто везде. Посмотрите вокруг. Всё больше вещей с софтом внутри. Всё больше различных услуг и сервисов. Программ, приложений, игр и так далее и тому подобное.
В этом и проблема. Софта всё больше, он всё сложнее, он проникает всюду. И всё это чем дальше, тем чаще глючит. При этом на всё это завязывается много важных вещей... Этот путь, очевидно же, что приведет однажды к глобальным проблемам.
Вас кто-то заставляет его ставить? Ну то есть не хотите и не ставьте.
Ага. "У вас аллергия на еду? Ну тогда не ешьте еду!"
Или всё таки даже такой антивирус лучше чем никакого?
Вот это было нормально 15-20 лет назад. А сегодня - этого уже просто недостаточно. Мир поменялся, софт расползся повсюду.
Никто не будет вам писать свой индивидуальный антивирус и потом его поддерживать
Заплатите достаточно и будут.
Это никогда не окупится.
А если весь ИТ обложить регуляциями и проверками по самое не могу, то код точно будет окупаться?
Тысяча +/- - если включая закрытые и экспериментальные. Что это число принципиально меняет?
То, что у вас тогда получается что аварийных у вас около процента. Пусть даже будет одна десятая процента. А это очень много.
Софта всё больше, он всё сложнее, он проникает всюду.
Угу. Ну так откажитесь от него. Или опять же даже такой софт иметь лучше чем никакого?
А сегодня - этого уже просто недостаточно.
Ну так не пользуйтесь антивирусами. Ну то есть ваши требования мне понятны. Но я не уверен что вы готовы их оплачивать. Мягко говоря.
Заплатите достаточно и будут.
Я вроде подробно написал, что опции по середине между "дешевое массовое" и "супердорогое индивидуальное" у нас нет.
А если весь ИТ обложить регуляциями и проверками по самое не могу, то код точно будет окупаться?
Еще раз повторяю: у вас нет опции "купить надежный софт". Есть только опция - "купить глючное, но дешевое. И без гарантий". Даже если вы закажете себе индивидуальную разработку софта - он будет точно таким же глючным по итогу.
Количества железа с софтом всё больше. На него завязаны всё более и более критичные вещи. Что в конечном итоге приведет к глобальному всепланетарному факапу. Если всё оставить как есть.
То, что у вас тогда получается что аварийных у вас около процента. Пусть даже будет одна десятая процента. А это очень много.
Одна антивирусная компания сейчас положила половину планеты. Вторая половина планеты в это время спала или не использовала этот софт. Это намного больше 1%)
Ну так откажитесь от него. ... Ну так не пользуйтесь антивирусами.
Что у вас за детская категоричность-то?
Я ж не предлагаю теперь всё старое запретить. Я говорю о том, что к покупке должны быть доступны гарантированно надежные продукты. Прям вот на 99,9%. Просто вот такой новый класс софта. А не как сейчас, когда не знаешь где очередное обновление чего-то тебе всё сломает.
Ну вот отказался я от антивируса, как вы советуете. Завтра МС выпустит очередное обновление которое будет бесконечно в цикле ставиться-откатываться и работать будет нельзя. Что дальше? Отказаться от винды? Так в линуксе такие же обновления бывают. На счеты перейти?
Я вроде подробно написал, что опции по середине между "дешевое массовое" и "супердорогое индивидуальное" у нас нет.
Вполне себе есть. Тот же Crowdstrike вполне себе занимался "кастомизацией" своего софта по заказу. И не только они.
Еще раз повторяю: у вас нет опции "купить надежный софт". Есть только опция - "купить глючное, но дешевое. И без гарантий".
И вы хотите чтобы опция "купить глючное, но дешевое. И без гарантий" тоже исчезла?
Это намного больше 1%
Неа. Вам нужно взять все антивирусы а мире и посмотреть сколько из них создавали серьёзные проблемы. Или даже взять весь софт в мире и посмотреть какой процент от всего софта создавао серьёзные проблемы.
Я ж не предлагаю теперь всё старое запретить. Я говорю о том, что к покупке должны быть доступны гарантированно надежные продукты
Ну так это и будет "всё запретить". Или как минимум "сделать большую часть софта неокупаемой".
На счеты перейти?
Вы наконец-то начали понимать.
Вполне себе есть. Тот же Crowdstrike вполне себе занимался "кастомизацией" своего софта по заказу. И не только они.
Ага, "качество" результата мы видим
И вы хотите чтобы опция "купить глючное, но дешевое. И без гарантий" тоже исчезла?
Не хочу. Даже ни разу не предлагал такое. Я именно за то, чтобы был выбор хоть каких-то продуктов с гарантированным качеством. Никто не мешает вам писать и продавать некачественное как и раньше)
Вам нужно взять все антивирусы а мире и посмотреть сколько из них создавали серьёзные проблемы.
Мне откровенно лень проверять, но я практически уверен, что глобальные факапы были у всех популярных. Т.е. с удалением системных библиотек, критичных папок или невозможности работать, т.к. софт переставал запускаться. По всем супер-популярным антивирусам такие новости я припоминаю - происходит это не то чтобы прям часто, но...
Ну так это и будет "всё запретить". Или как минимум "сделать большую часть софта неокупаемой".
Да с чего вы так решили, где я это написал?? "Вместе", но не "вместо"!
Ага, "качество" результата мы видим
Так заплатите им и они специально протестируют свой софт под ваши системы. Уверен что это будет не так уж и дорого.
Даже ни разу не предлагал такое.
А что конкретно вы предлагаете?
Да с чего вы так решили, где я это написал?? "Вместе", но не "вместо"!
Ну смотрите. Если вы начнёте жёстко штрафовать за любые баги, то либо стоимость софта сильно вырастет, либо его перестанут писать. А если вы не будете штрафовать, то всё останется как сейчас.
Или как вы это себе представляете?
Так заплатите им и они специально протестируют свой софт под ваши системы.
Им крупнейшие мировые компании платили за этот софт. Компания вышла на миллиардный оборот. Помогло?
Не в деньгах проблема...
А что конкретно вы предлагаете?
Пятый раз пишу: выбрать/создать какие-то компании, которые будут писать спец.версии софта - с упором на надежность и прохождение 100500 тестов. А не как сейчас - "тяп-ляп и в продакшн".
Это ж нужно не для всего софта, а для того, от кого многие зависят.
Если вы начнёте жёстко штрафовать за любые баги, то либо стоимость софта сильно вырастет, либо его перестанут писать. А если вы не будете штрафовать, то всё останется как сейчас.
Ну да, хим.заводы же позакрывались после введения жесткого контроля. Пищепром вообще весь вымер, а еда настолько подорожала, что люди на подножный корм и собирательство перешли...
Им крупнейшие мировые компании платили за этот софт.
Они им платили за индивидуальное тестирование? Или просто как можно дешевле?
Пятый раз пишу: выбрать/создать какие-то компании, которые будут писать спец.версии софта - с упором на надежность и прохождение 100500 тестов.
Кто их должен создавать? Кто им будет за это платить?
Кто вам мешает сейчас создать такую компанию? Или не вам, а кому угодно?
Ну да, хим.заводы же позакрывались после введения жесткого контроля.
На хим. заводах теперь больше не бывает различных ЧП? Контроль работает на 100%?
Ещё раз: это не так что в ИТ вообще нет контроля. Он есть, но он не даёт 100% гарантии. Точно так же как и в куче других отраслей.
И даже в отраслях вроде атомной энергетики, авиации или там медицины постоянно происходят косяки. Хотя казалось бы их должны хорошо контролировать.
Они им платили за индивидуальное тестирование? Или просто как можно дешевле?
Аэропорты и томографы ставят тот софт, что им сказало ставить государство. Свободы выбора у них нет. По каким критериям оно было выбрано - кто ж его знает. Вопрос, повторюсь, не в деньгах вообще - все эти крупные компании могли и больше заплатить и даже не заметили бы
Кто их должен создавать? Кто им будет за это платить?
Очевидно же - правительства стран. Критичная инфраструктура - в ведении правительства. Софт тоже уже стал критичной инфраструктурой
На хим. заводах теперь больше не бывает различных ЧП? Контроль работает на 100%?
Но он там есть! А кто вообще проверяет софт? Хоть как-то? Не в смысле разового аудита за деньги разработчика этого софта, а именно в регулярном режиме? Таких структур ни в одном государстве до сих пор толком не существует.
Ещё раз: это не так что в ИТ вообще нет контроля. Он есть, но он не даёт 100% гарантии.
Независимого контроля практически нет. А там где он всё-таки есть, то это филькина грамота, т.к. проверяется всё что угодно, кроме самого софта.
И даже если код "в моменте" проверили - никто не проверяет потом обновления. Ибо это новая сертификация - а это долго/дорого
Т.е. я еще раз говорю, сама текущая система разработки софта и ответственности за косяки ведет к тому, что этот софт становится предельно багнутым. Лицензирование, может и не панацея, но других механизмов особо и нет. Ну можно еще за каждый баг судиться )
Аэропорты и томографы ставят тот софт, что им сказало ставить государство.
Неправда.
Очевидно же - правительства стран
Для меня это не очевидно. Я не хочу чтобы мои налоги на такое тратили. Я и так достаточно налогов плачу и не особо готов чтобы их ещё повышали.
Но он там есть! А кто вообще проверяет софт? Хоть как-то?Не в смысле разового аудита.
Аудит обычно проверяет процессы. Например наличие тестирования.
Если софт используется в критических местах, например в медицинских приборах, то его проверяют дополнительно. У того же Сименса из MRT тестируются и сторонними организациями и их клиентами.
Независимого контроля практически нет. А там где он всё-таки есть, то это филькина грамота
На основании чего вы делаете такие заявления? Вон я выше привёл пример с Сименсом. Чем вас это не устраивает?
Т.е. я еще раз говорю, сама текущая система разработки софта и ответственности за косяки ведет к тому, что этот софт становится предельно багнутым
Потому что в большинстве случаев такой вариант выгоднее для всех. И для тех кто делает софт и для тех кто его использует.
На основании чего вы делаете такие заявления? Вон я выше привёл пример с Сименсом. Чем вас это не устраивает?
На основании наглядно видных факапов в кууууче компаний только за последние пять лет. Причем:
из-за кривизны софта
никто за это не ответил и даже компании-разработчики не закрылись
ущерб в миллиарды долларов
количество и масштаб инцидентов с каждым годом всё увеличивается
Нет, конечно же никакой проблемы у нас нет, всё хорошо.
Потому что в большинстве случаев такой вариант выгоднее для всех.
Варить нитроглицерин в квартире тоже выгодно. Но я уверен, что вы будете сильно недовольны таким соседом.
На основании наглядно видных факапов в кууууче компаний
Ну так значит в куче компаний /или кучу продуктов не контролируют или контролируют слабо.
А теперь вопрос почему это так. Потому что не умеют или потому что это никому особо не надо? Ни самой фирме, ни пользователям.
Варить нитроглицерин в квартире тоже выгодно.
Неправда. По крайней мере если учитывать риски.
И точно так же все вполне себе умеют оценивать риски и в других ситуациях. Например при покупке софта. И расходы люди тоже умеют считать.
Но я уверен, что вы будете сильно недовольны таким соседом.
Но мой антивирус меня не убьёт и не покалечит. И куча другого софта тоже.
Поэтому мне не особо важно если софт, которым я пользуюсь, слегка забагован. Ну пока соотношение цена-качество меня устраивает.
А теперь вопрос почему это так. Потому что не умеют или потому что это никому особо не надо? Ни самой фирме, ни пользователям.
Еще раз: у пользователей нет выбора. Весь софт предоставляется с лицензией as is. Т.е. или бери что есть - или иди отсюда. Вон, тот же Teams тормозит и глючит уже несколько лет подряд - и? Много пользователей от него отказались? Или кто-то заставил MS его привести в порядок?
Но мой антивирус меня не убьёт и не покалечит. И куча другого софта тоже.
Легко! Поставьте его на комп системы умного дома. А потом оно зависнет с открыв краны и затопив квартиру. Или открыв вам газ в колонке.
Поэтому мне не особо важно если софт, которым я пользуюсь, слегка забагован. Ну пока соотношение цена-качество меня устраивает.
Я еще раз повторю, что я не предлагаю ваш забагованный софт запретить. Я говорю о том, что есть целый ряд софта, для которого качество должно быть обязательным требованием. Ровно так же, как сейчас делаются, например, автомобили. Вы можете даже самостоятельно собрать авто - но ездить на нем в городе вы не сможете, пока не докажете, что это авто надежно. Аналогично, вы сможете такой софт использовать дома, но в компанию его уже не поставить - не тот класс ПО.
Еще раз: у пользователей нет выбора
Или им это просто не нужно. Но если правы вы, а не я, то у вас есть отличная идея для стартапа.
Дерзайте и обогатитесь. Хотя с моей точки зрения эта идея не взлетит....
Легко! Поставьте его на комп системы умного дома. А потом оно зависнет с открыв краны и затопив квартиру. Или открыв вам газ в колонке.
Не сможет. Потому что у меня и сантехника и отопление и всё остальное имеют "предохранители". То есть софт при всём желании не сможет нанести особого вреда. Максимум вред будет финансовый. Но для этого есть страховка.
Я говорю о том, что есть целый ряд софта, для которого качество должно быть обязательным требованием.
Ну так так и есть для целого ряда софта. Уже есть. И без того чтобы государство регулировало именно сам этот софт. Достаточно что государство регулирует те аспекты где этот софт применяется.
Аналогично, вы сможете такой софт использовать дома, но в компанию его уже не поставить - не тот класс ПО.
А можно моя компания сама будет решать какой софт она хочет? И сама рассчитывать риски и решать как от них защищаться? Вы уверены что государственные чиновники сделают это лучше? Лично я уверен в обратном.
А можно моя компания сама будет решать какой софт она хочет? И сама рассчитывать риски и решать как от них защищаться?
Ну вот почему-то для пищепрома так не работает: вы покупаете только оборудование из спец.сплавов и никак иначе. И оно дороже. Для пожарной безопасности тоже всё строго сертифицировано - и в общественном месте вы не можете поставить не сертифицированное в принципе. Дома - можете.
Почему точно такие же ограничения на софт для вас выглядят как конец света?
Ну вот почему-то для пищепрома так не работает
Может быть потому что пищепром может отравить людей, а мы не можем? Так зачем нас точно так же регулировать?
Почему точно такие же ограничения на софт для вас выглядят как конец света?
Потому что нет смысла их вводить на софт как таковой. Их следует вводить для продуктов и/или ситуаций когда есть угроза для жизни и здоровья людей.
Может быть потому что пищепром может отравить людей, а мы не можем?
Как же не можете-то? Антивирус может стоять на производстве на компе, управляющим тех процессом. Комп упал в синий экран, тех.процесс сломался и произошел, например, выброс хлора, который ветром полетел на город.
Так зачем нас точно так же регулировать?
Так я еще в 100500ый раз говорю, что регулировать надо не весь софт, а только критичный. Вы же продолжаете упорно рассуждать так, что будто-бы я предлагаю вообще всё запретить)
Потому что нет смысла их вводить на софт как таковой.
Так никто и не предлагал такое.
Их следует вводить для продуктов и/или ситуаций когда есть угроза для жизни и здоровья людей.
Именно про это я и пишу. Только помимо жизни и здоровья людей есть такое понятие: критичная инфраструктура. Там может быть всё что угодно - управление АЭС, пром.производством или гос.организациями. Помимо жизни и здоровья людей есть куча вещей, ущерб от которых тоже очень неприятен.
Антивирус может стоять на производстве на компе, управляющим тех процессом.
Ну так и регулируйте это производство. Наша фирма тут причём? Почему мы сами не можем решить какой антивирус нам использовать?
Комп упал в синий экран, тех.процесс сломался и произошел, например, выброс хлора, который ветром полетел на город.
И поэтому, если вы не в курсе, для таких вещей на производстве стоят всякие электронно-механические "предохранители". Которые должны срабатывать если глючит софт, отключается электричество и так далее и тому подобное.
Так я еще в 100500ый раз говорю, что регулировать надо не весь софт, а только критичный.
Но вы в критичный софт записали антивирусы и написали что фирмы больше не смогут для себя решить использовать "не качественный антивирус". При этом "качество" этого антивируса каким-то образом должны определять чиновники.
Зачем мне такое счастье?
Именно про это я и пишу
Нет. Именно так оно уже сейчас делается. И регулировать антивирусы или ОС для этого совсем не обязательно.
Наша фирма тут причём? Почему мы сами не можем решить какой антивирус нам использовать?
Так это и решает государство. Если ваши проблемы нанесут вред государству или людям - то нет, вы уже не можете сами решать какой антивирус использовать.
И поэтому, если вы не в курсе, для таких вещей на производстве стоят всякие электронно-механические "предохранители".
Тогда где у нас предохранитель в ОС, который не дал бы софту её сломать? Его нет, потому что не пришло государство и не заставило разработчика ОС его сделать.
Но вы в критичный софт записали антивирусы и написали что фирмы больше не смогут для себя решить использовать "не качественный антивирус".
Так вы сегодня не сможете работать без антивируса. Это просто гарантирует вам проблемы с вирусами рано или поздно. Т.е. это именно что критичный софт, без которого не обойтись
При этом "качество" этого антивируса каким-то образом должны определять чиновники.
Чиновники не определяют качество. Они ставят рамки "как делать точно не надо". А рамки эти определены предыдущими факапами в отрасли. И после ввода ограничений именно такие факапы становятся, в общем случае, невозможными (ну, строго говоря - возможными, но труднодостижимыми + наказание за такой повторный факап само по себе жестче: вас же предупреждали так не делать).
Так это и решает государство.
Зачем?
Если ваши проблемы нанесут вред государству или людям - то нет, вы уже не можете сами решать какой антивирус использовать.
Вот если нанесут, то тогда и будем разговаривать.
И тот же Crowdstrike с их багом в большинстве случаев нанёс только финансовый урон фирмам и людям. Так зачем его регулировать?
Почему нельзя регулировать только тех кто использовал Crowdstrike и в результате нанёс вред?
Тогда где у нас предохранитель в ОС, который не дал бы софту её сломать?
А зачем он нужен в каждой ОС и на каждом компе?
Так вы сегодня не сможете работать без антивируса. Это просто гарантирует вам проблемы с вирусами рано или поздно.
Ну так это мои проблемы, мои деньги и мои риски. Я с этим сам разберусь.
Чиновники не определяют качество. Они ставят рамки "как делать точно не надо".
Каким образом? Кто и как будет проверять соблюдаются ли рамки? И в чём принципиальная разница с "чиновники определяют качество"? Или даже "чиновники решают каким антивирусом я теперь могу пользоваться"?
Зачем?
Чтобы ограничить вас уже известных в способах вреда окружающим.
Вот если нанесут, то тогда и будем разговаривать.
Ну так сертифицирование и ГОСТы появляются не сами по себе, а после нанесения вреда. Именно способы не-нанесения конкретно этого вреда и прописываются в этих документах. И принудительно распространяются на всех производителей в отрасли.
И тот же Crowdstrike с их багом в большинстве случаев нанёс только финансовый урон фирмам и людям. Так зачем его регулировать?
Чтобы никто из других производителей в отрасли больше не мог сделать ровно вот такой баг. Появится иной баг - его тоже добавят в документы с запретами. Именно так регулирование и работает
Ну так это мои проблемы, мои деньги и мои риски. Я с этим сам разберусь
Ну да. Пока вы никто и от вас ничего не зависит. Или дома. А как только ваша деятельность хоть как-то влияет на других людей - приходит государство и начинает проверять безопасность. Это сегодня так вообще в любой отрасли! Кроме ИТ.
Каким образом? Кто и как будет проверять соблюдаются ли рамки?
Так я уже несколько раз повторил, что в мире ни в одном государстве на сегодня не существует таких организаций для проверки ИТ. Нет условного РосКодНадзора.
И в чём принципиальная разница с "чиновники определяют качество"?
Боюсь, вы не сможете понять. Если после стольких комментариев с конкретными примерами не поняли - то тут я бессилен.
Или даже "чиновники решают каким антивирусом я теперь могу пользоваться"?
Внезапно!
Чиновники решают какими кастрюлями вы можете пользоваться.
Чиновники решают на каких машинах вы можете ездить
Чиновники решают в каких домах вы можете жить
Чиновники решают какие продукты вы можете есть
Чиновники решают, какие устройства безопасности вы обязательно должны использовать
Почему чиновники не могут решать, каким антивирусом вы должны пользоваться, объясните? Почему по вашему ИТ - избранное и там не должны работать те же самые правила, что веками отлаживались в материальном мире?
Пока не объясните - я не вижу смысла дальше обсуждать тему.
Чтобы ограничить вас уже известных в способах вреда окружающим.
Так вы сначала объясните мне какой вред окружающим может нанести моя фирма если будет использовать "неправильный" антивирус. Можете это сделать?
Ну так сертифицирование и ГОСТы появляются не сами по себе, а после нанесения вреда
И ещё раз: какой вред нанесла моя фирма или ей подобные использованием "неправильного антивируса" Зачем нас регулировать в этом плане ?
Чтобы никто из других производителей в отрасли больше не мог сделать ровно вот такой баг.
Но из-за этого все антивирусы станут дороже. Зачем это надо мне и моей фирме*?
Ну да. Пока вы никто и от вас ничего не зависит
Имелась в виду фирма. Использовать антивирус и какой использовать это риски и деньги моей фирмы. Она с этим сама разберётся.
Боюсь, вы не сможете понять
Боюсь что большинство не сможет этого понять. Особенно если мы говорим о российских чиновниках.
Внезапно!
Внезапно ваши примеры они о ситуациях когда есть угроза жизни или здоровью. Моя фирма не угрожает жизни и здоровью других людей если не будет использовать антивирус. Или если будет использовать плохой. Так зачем её регулировать?
Так вы сначала объясните мне какой вред окружающим может нанести моя фирма если будет использовать "неправильный" антивирус. Можете это сделать?
Вас опять мотыляет из стороны в сторону. Я уже написал много раз, что можете вы нанести вред или нет определяет государство по результатам предыдущих факапов таких же компаний, как ваша. Если такого не было - всем по барабану, что вы там используете. Если в итоге вы нанесете вред, его проанализируют и запишут в соотв. документах, которыми теперь будут обязаны следовать все такие же фирмы.
И ещё раз: какой вред нанесла моя фирма или ей подобные использованием "неправильного антивируса" Зачем нас регулировать в этом плане ?
Пока вы не нанесли вред - вас никто и не регулирует. А если нанесете, этот вред описывается и появляются документа с регулированием. Что непонятного-то?
Но из-за этого все антивирусы станут дороже. Зачем это надо мне и моей фирме*?
Производство сталей для пищепрома дороже, чем обычных. Но всех их используют. Потому что пришел регулятор от государства и так сказал. И вы можете сколько угодно этим возмущаться, но это регулирование ввели не просто так, а из-за целого ряда проблем с итоговой продукцией при использовании обычных сталей.
Ваша фирма или соблюдает ограничения - или больше не работает в отрасли.
Имелась в виду фирма. Использовать антивирус и какой использовать это риски и деньги моей фирмы.
Пока вы не влияете на окружающих. Пока нет накопившегося опыта, что именно этот антивирус использовать не надо. После этого к вам придет гос.регулятор и будет больно бить за выбор этого антивируса - и будет 100% прав.
Внезапно ваши примеры они о ситуациях когда есть угроза жизни или здоровью. Моя фирма не угрожает жизни и здоровью других людей если не будет использовать антивирус.
Внезапно! Тогда её не будут регулировать)
Тогда ещё раз: чем предложенная вами ситуация будет отличаться от того что мы имеем сейчас?
И какой ущерб жизни и здоровью людей нанёс антивирус от Crowdstrike? Сам по себе? Напрямую?
Тем, что причина факапа передается междую компаниями принудительно и их заставляют писать код так, чтобы именно такой факап больше не происходил. Это не защитит от новых пробелем, но защищает от ранее совершенных - причем все фирмы в этой части ИТ-отрасли, а не только тех, кто словил тот самый первый факап.
И какой ущерб жизни и здоровью людей нанёс антивирус от Crowdstrike?
Не летающие самолеты. Не работающие перевозки и таможня. Не работающие томографы. Куча вставших процессов в куче компаний, которые не успели сделать распланированное из-за этого простоя и попали на деньги.
Кто-то мог вовремя не долететь до другого города, не заключить контракт и не получить миллиарды. Кто-то вовремя не получил груз и влетел на нарушение контракта.
Почему вы так упорно утыкаетесь исключительно во вред здоровью. Других проблем для вас не существует?
Тем, что причина факапа передается междую компаниями принудительно и их заставляют писать код так, чтобы именно такой факап больше не происходил.
Извините, но вы сами то код пишите? Это в принципе не будет работать. Потому что у разных фирм могут банально быть разные ЯП, подходы архитектура. Передача информации о баге в одной фирме другим фирмами практически ничего не даст.
Потому что лично я уверен что ничего "магического" в баге у Crowdstrike не было. И причина там не нова и всем известна.
Не летающие самолеты. Не работающие перевозки и таможня. Не работающие томографы. Куча вставших процессов в куче компаний, которые не успели сделать распланированное из-за этого простоя и попали на деньги.
Не-не-не. Примеры ущерба жизни и здоровью людей. Финансовые потери это проблемы самих компаний. Пусть они с ними сами разбираются.
Почему вы так упорно утыкаетесь исключительно во вред здоровью. Других проблем для вас не существует?
И ещё раз: финансовые риски это личное дело компаний. Хотят рисковать и экономить на софте? Их дело и им потом же и разбираться с последствиями.
Извините, но вы сами то код пишите? Это в принципе не будет работать. Потому что у разных фирм могут банально быть разные ЯП, подходы архитектура
Конечно не будет работать. Поэтому все эти компании добровольно
перейдут на единый стандартизированный ЯП - просто чтобы соблюдать все новые требования. Ровно так же это происходит у производителей в не-ИТ сфере.
Потому что лично я уверен что ничего "магического" в баге у Crowdstrike не было. И причина там не нова и всем известна.
Причина там - отсутствие достаточного тестирования кода перед выкаткой. Потому что никакой стандартизации тестирования сейчас не существует и каждый делает что ему показалось правильным. И, соответственно, это ведет к недотестированию критичных вещей, т.к. это сложно/долго/дорого. И естественным образом эта ситуация никогда не исправится - ровно так же, как она естественным образом не исправилась в других - материальных - отраслях производств. Может только прийти государство и заставить.
Не-не-не. Примеры ущерба жизни и здоровью людей. Финансовые потери это проблемы самих компаний.
Это вы сами выдумали, теперь сами с этим носитесь и о чем-то непонятном спорите. С этим выдуманным вами вопросом вы уж тогда сами и разбирайтесь, я тут причем?
И ещё раз: финансовые риски это личное дело компаний. Хотят рисковать и экономить на софте? Их дело и им потом же и разбираться с последствиями.
Исключительно только до тех пор пока это не касается большого количества клиентов одновременно. Пока пострадавших единицы - вопрос решается через суд. Если пострадавших много - приходят регуляторы и накладывают ограничения.
Поэтому все эти компании добровольно
перейдут на единый стандартизированный ЯП - просто чтобы соблюдать все новые требования.
Знаете что? Идите как вы с такими предложениями туда где солнышко не светит. Нам тут ещё "стандартизированного ЯП" не хватает....
Причина там - отсутствие достаточного тестирования кода перед выкаткой.
Отлично. И что другие фирмы не в курсе что это может создать проблемы? Что изменится от того что вы им про это расскажете?
И естественным образом эта ситуация никогда не исправится
Так она и с помощью госрегуляций никогда не исправится. Как по вашему должен выглядеть закон, который будет это регулировать? Что там должно быть написано? Ну что его выполнение решало эту проблему?
Это вы сами выдумали
Что я выдумал? Что финансовые риски компаний не должны регулироваться государством? А как вы себе представляете такую регуляцию? Плановая экономика?
Исключительно только до тех пор пока это не касается большого количества клиентов
Финансовая ответственность перед клиентами это тоже дело фирм. Для этого существуют штрафы, неустойки и всякое там возмещение ущерба. То есть пусть фирмы со своими клиентами сами разбираются. В чём проблема?
И что другие фирмы не в курсе что это может создать проблемы?
Про конкретику - нет. Конкретику задают ГОСТы и другие ограничивающие документы. Которые для ИТ-отрасли писать некому, нет специализированных организаций, а всё что есть - результат деятельности других, не-ИТ, организаций для решения своих не-ИТ проблем.
Что изменится от того что вы им про это расскажете?
Что изменилось от того, что в пищепроме теперь все используют исключительно нержавейка? Просто это теперь требуют соответствующие ГОСТы, которые написали соответствующие государственные организации. Которые сделали это проанализировав проблемы, вызываемые другими материалами
Почему для ИТ такого нет? Почему вы считаете, что для ИТ так делать нельзя? Почему для вас так важно, чтобы каждая компания ни в коем случае не была ничем ограничена и никак не зависела от чужого опыта ошибок?? Я не понимаю.
Так она и с помощью госрегуляций никогда не исправится. Как по вашему должен выглядеть закон, который будет это регулировать?
Как сегодня выглядят ГОСТы? Как выглядят документы, которые вводят в строительстве допустимые границы крепкости, при расчетах несущих конструкций? Почему, по вашему, для ИТ ровно такое же невозможно???
Что я выдумал? Что финансовые риски компаний не должны регулироваться государством?
Вы выдумали мифический вред здоровью и теперь с ним сражаетесь. И да, финансовые риски тоже вполне себе регулируются государством.
Финансовая ответственность перед клиентами это тоже дело фирм.
Пока пострадавших клиентов - мало. В случае массовых событий приходит государство, карает всех подряд и вводит ограничения (в законы, ГОСТы или лицезирование), чтобы такого не случалось в будущем.
Можно МММ вспомнить, например. Или регулирование продаж в строительстве жилья на этапе котлована, когда дома еще нет.
То есть пусть фирмы со своими клиентами сами разбираются. В чём проблема?
В масштабах. Пока пострадавших единицы - проблему решает суд. Если пострадавших много - проблему решает государство. Это - азы. Мне кажется, вы где-то на Марсе живете, у вас там наверное всё по-другому )
Конкретику задают ГОСТы и другие ограничивающие документы.
Так Crowdstrike придерживался ГОСТов. Я же вроде бы давал вам ссылку на их раздел с сертификациями.
Как сегодня выглядят ГОСТы?
И ещё раз: Crowdstrike работал по ГОСТам. Причём даже по ГОСТам разных стран. Помогло?
Пока пострадавших клиентов - мало. В случае массовых событий приходит государство, карает всех подряд и вводит ограничения
Отлично пусть вводит. Для медицины, для авиации, для производителей томографов. Для тех кто конкретно создал проблемы куче своих конечных потребителей. Тогда они возможно начнут выбирать другие антивирусы.
Ну или просто перестанут лечить, перевозить и производить томографы. Тут уже как повезёт...
И ещё раз: Crowdstrike работал по ГОСТам. Причём даже по ГОСТам разных стран. Помогло?
Ну так отлично же! Теперь это всё случившееся же повлияет на эти ГОСТы и другие компании именно так косячить не будут же, да? Или нет?
Для тех кто конкретно создал проблемы куче своих конечных потребителей. Тогда они возможно начнут выбирать другие антивирусы.
А других-то и нет! Упс...
В других отраслях в такой ситуации приходит государство и лицензированием, законами и еще кучей методов просто заставляет бизнес сделать не дешево, а как надо. Пусть и дороже. Пусть и не для всех, а только для отдельных критичных мест. В ИТ такого почему-то нет и вы считаете, что это хорошо и нормально. Я не понимаю.
Ну так отлично же! Теперь это всё случившееся же повлияет на эти ГОСТы и другие компании именно так косячить не будут же, да? Или нет?
Во первых нет, скорее всего не повлияет. Потому что все прекрасно понимают что никакой ГОСТ не гарантирует отсутствия факапов
А во вторых, так а что вы конкретно хотите изменить то?
А других-то и нет! Упс...
Ну так их и не будет. Вне зависимости от того какие ГОСТы вы будете вводить. Банально потому что это не выгодно.
В других отраслях в такой ситуации приходит государство и лицензированием, законами и еще кучей методов просто заставляет бизнес сделать не дешево, а как надо
Или просто вообще прекратить. Потому что "как надо" не окупается. Как это например случилось с тем же Убером в Германии.
Пусть и не для всех, а только для отдельных критичных мест.
Как это должно работать? Как вы заставите кого-то писать себе в убыток антивирусы для "критичных мест"? Вынудите всех платить больше? И тогда у вас авиакомпании будут работать непрерывно, но люди не смогут себе позволить на них летать?
Или вместо того что томограф раз в десять лет будет ломаться на пару дней у вас половина больниц не сможет их себе позволить?
А во вторых, так а что вы конкретно хотите изменить то?
Я? Я уже раз 20 написал, что я хочу, чтобы софт, без которого нельзя обойтись не клал мне компьютер.
Ну так их и не будет. Вне зависимости от того какие ГОСТы вы будете вводить. Банально потому что это не выгодно.
Когда "невыгодно" - приходит государство и принудительно пинает, чтобы делали именно "хорошо", а не "выгодно". Везде так - кроме ИТ.
Или просто вообще прекратить. Потому что "как надо" не окупается.
Ну часть компаний вымрет. Остальные сольются и получившейся более крупной таки окажется достаточно выгодно. Или просто цены вырастут. Что за детская отмазка "невыгодно"? Хоть кто-то сейчас ограничивает цены на ПО? Вы любую цену поставить можете!
Как это должно работать? Как вы заставите кого-то писать себе в убыток антивирусы для "критичных мест"?
Госконтракты, госконкурсы. Пачка формальных требований, без которых ваш антивирус вообще никто в ряд организаций не купит. Пачка таких же требований к другим поставщикам другого софта, где один из пунктов - "наличие антивируса". И вот уже не государство ищет "надежный антивирус", а над ним добровольно работает сам бизнес.
И это только самые простые варианты. Проверенного опыта решения таких проблем в железячном мире у государства дофига.
И тогда у вас авиакомпании будут работать непрерывно, но люди не смогут себе позволить на них летать? ... Или вместо того что томограф раз в десять лет будет ломаться на пару дней у вас половина больниц не сможет их себе позволить?
У вас какой-то нездоровый фетиш на цену.
Я уже говорил много раз, что не нужно переделывать ВСЁ. Достаточно иметь хотя бы одну-две надежные альтернативы - пусть и дороже. Сейчас их просто нет, вообще нет - ни за какие деньги.
Я уже раз 20 написал, что я хочу, чтобы софт, без которого нельзя обойтись не клал мне компьютер.
И каким магическим образом это должно произойти? Ну если сейчас такой софт невыгодно писать даже если вы готовы за него платить, то почему регуляции внезапно сделают это выгодным? Это кончится просто тем что у вас не будет никаких антивирусов.
Когда "невыгодно" - приходит государство и принудительно пинает, чтобы делали именно "хорошо", а не "выгодно". Везде так - кроме ИТ.
И тогда в куче случаев просто перестают вообще хоть что-то делать. Потому что в минус работать никто не хочет.
А если оно не в минус и есть спрос, то почему сейчас никто не делает?
Остальные сольются и получившейся более крупной таки окажется достаточно выгодно.
Или не окажется и она займётся чем-то другим. Ещё раз если это в принципе может быть выгодно и есть спрос,то почему сейчас никто не делает.
То есть либо это не выгодно. И тогда это в принципе никто никогда не будет делать. Либо спроса нет. И тогда получается что вы хотите засатвить других платить за ваши хотелки.
Госконтракты, госконкурсы. Пачка формальных требований, без которых ваш антивирус вообще никто в ряд организаций не купит
Ну так это и сейчас уже существует. В медицине, в авиации, в атомной энергетике, в куче других отраслей. Что вы хотите изменить?
Я уже говорил много раз, что не нужно переделывать ВСЁ. Достаточно иметь хотя бы одну-две надежные альтернативы - пусть и дороже.
Для чего достаточно? Чтобы что не происходило? Чтобы фирмы в случае теоретического факапа не теряли деньги? Но вместо этого постоянно теряли деньхи из-за "дорогих альтернатив"? Так может фирмы сами могут решить какой вариант для них более выгоден? Почему вы хотите решать за них?
Ну если сейчас такой софт невыгодно писать даже если вы готовы за него платить, то почему регуляции внезапно сделают это выгодным?
Почему не выгодно-то? Вполне выгодно. Просто - зачем компаниям заморачиваться, если вы готовы вместо надежности платить за говнософт? В условиях отсутствия выбора вы не сможете проголосовать рублем)
И тогда в куче случаев просто перестают вообще хоть что-то делать. Потому что в минус работать никто не хочет.
Никогда такого не происходит. И даже если вдруг будет именно так, то закончится это или созданием госкомпании, или принудительным госконтрактом на разработку (вы, конечно, можете от него отказаться - и закрыться т.к. вам государство начнет вредить бесконечными проверками или ограничениями)
То есть либо это не выгодно. И тогда это в принципе никто никогда не будет делать. Либо спроса нет. И тогда получается что вы хотите засатвить других платить за ваши хотелки.
Еще раз повторю пример. Производить кастрюли из нержавейки - невыгодно, потому что из простого чугуна на порядки дешевле. Но сейчас все производят исключительно из "невыгодной" нержавейки. Потому что пришло государство и заставило делать как надо, а не дешево.
Ну так это и сейчас уже существует. В медицине, в авиации, в атомной энергетике, в куче других отраслей. Что вы хотите изменить?
Ну и каким образом в медицине на томографе оказался тот антивирус? Может быть потому что других-то (качественных) и нет, а? Именно это я и хочу - чтобы был выбор. Сейчас его просто нет. Вообще нет, ни за какие деньги.
Так может фирмы сами могут решить какой вариант для них более выгоден? Почему вы хотите решать за них?
Пока это не приводит к массовым проблемам никто и слова не скажет за такой выбор. Но если проблемы - массовые (как сейчас), то приходит государство и принудительно устраняет первопричину. Это так работает во всех отраслях. Кроме ИТ. ИТ же избранные, их нельзя трогать!
Это кончится просто тем что у вас не будет никаких антивирусов.
А минусы будут?
Что финансовые риски компаний не должны регулироваться государством? А как вы себе представляете такую регуляцию? Плановая экономика?
Ну например банки а) обязаны страховать вклады, и б) обязаны возместить -- без верхнего предела -- ущерб, нанесённый невыполнением или несвоевременным выполнением указания клиента, в т.ч по причине технического сбоя.
Финансовая ответственность перед клиентами это тоже дело фирм. Для этого существуют штрафы, неустойки и всякое там возмещение ущерба. То есть пусть фирмы со своими клиентами сами разбираются.
Нет, вы не можете открыть банк-без-обязательств под лозунгом "мы со своими клиентами сами разберёмся". Эти финансовые обязательства ставятся государством как обязательное условие для открытия банка.
Расскажу вам одну быль. В одном государстве приняли закон о "Критически важной инфраструктуре". Практически то что вы тут написали. И так вышло что попали в этот закон системы только "отечественные". Торжественно приняли этот закон. Бизнес честно закупил "отечественные" системы, поизучал, поплакал над стабильностью. И тут неожиданно цены на "отечественные" системы пошли резко вверх. Может быть это как то было связано с этим собственно законом, но точного объяснения никто не предоставил. "Отечественные" системы даже настолько преисполнились что убрали CE сборки и впрямую нарушили родительские лицензии. И так как чёткого описания в законе "критически важной инфраструктуры" головастые чиновники не предоставили бизнес нанял ещё 2 юристов на это всё и перешёл на открытый Линукс. Конец.
Это практически всё что нужно знать о попытках зарегулировать ИТ.
P.S.
Всё что вы перечислили в "что решают за вас чиновники" либо частично верно, либо имеет миллиард лазеек которыми люди по беднее и пользуются. Реально чиновники решают железобетонно и на 100% примерно нигде. Ну кроме может быть такого важного вопроса как "сколько ступенек должно быть в вашем баре с точки зрения пожарной безопасности". И даже это в некоторых случаях волшебным образом их перестаёт интересовать после приватной беседы.
И если ваше "отчественное ПО" в критичной инфраструктуре внезапно сбойнет - государство же ничего не будет делать и не будет за это наказывать, как это происходит с "обычным" ПО. Да? Или всё-таки нет - и такая компания поимеет большую кучу проблем, а кто-то, может, и сядет?
А вы я смотрю любитель посадок... Посадка это тоже просто риск. Если он оправдан чем то (например сверхприбылью) то не имеет такого сдерживающего эффекта.
И если коротко то нет, никто не сядет. Ну или сядет кто попало. Хотя бы потому что просто так попасть в закон весьма сложно. Не будут же сами себя сажать. А именно об этом вы с такой радостью и писали выше. Что останется только "один мастер кто софт пишет а остальные только рюшечки". Ну так мастер останется государственный скорее всего, а сажать самих себя не к лицу. В ИТ же всё немного не так работает как например на заводах, поэтому появятся зицпредседатели Фунты и дело с концом.
По поводу "отечественного ПО" это вообще цирк. Я тоже могу перепаковать RHEL и сказать что разрабатываю отечественное ПО, поломав совместимость параллельно со всеми припроетарными драйверами на рынке. Стоймость же этого ПО сопоставима с покупкой нового сервера. Т.е. я покупаю сервер и отваливаю его полную стоймость за систему, которую на самом деле чуть ли не побайтово скопировали с другой. По факту я просто выплачиваю наценку за риск, ну или страховку, как хотите, что юы мне было на когоп альцем показать в случае чего и получаю некий софт как утешительный приз. Мне честно говоря дешевле выплатить штраф за поломку критически важной инфраструктуры. Тем более что в отличие от вашего воображения если это всё не приведёт к смертям, особенно массовым, дальше штрафа никакое законодательство не уходит.
Как же не можете-то? Антивирус может стоять на производстве на компе, управляющим тех процессом. Комп упал в синий экран, тех.процесс сломался и произошел, например, выброс хлора, который ветром полетел на город.
Не может, а точнее не будет.
Никто управление такими процессами не делает программой под Windows, ща и под Linux тоже. Там используются специализированные ПЛК (типа Siemens Simartic и многих других) с RTOS, код под которые пишут на специальных до неприличия упрощённых языках программирования (так называемые МЭКовские языки) с защитой от дурака.
Обычные Windows или Linux с антивирусами только для диспетчеризации и отчётов там исаользуются, но не них не реализуются алгоритмы требующие реального времени, тем более защитные. Сами алгоритмы обеспечивающие работу остановок и защиту от разных там ситуаций реализуются в ПЛК и полевых приборах. Именно по описанным выше причинам - условно говоря, даже полная неработоспособность скады не должна привести к авариям, это золотое правило проектирования. Более того, критические вещи (которые могут привести к аварии или убыткам) кроме ПЛК обычно дополнительно дублируются релейной автоматикой. Потому что даже ПЛК может выйти из строя.
То есть для критических областей, требующих невероятной надёжности и безопасности, такое уже давно применяется и вполне работает, но и алгоритмы там на самом деле довольно примитивные. Для тех сфер, где такая параноидальная надёжность не нужна (а логика работы гораздо сложнее), рынок (покупатели, пользователи, государства) рассудил, что там это излишне и приносит больше проблем чем пользы. Система уже сбалансирована.
Никто управление такими процессами не делает программой под Windows, ща и под Linux тоже
Если бы. Вспомним Stuxnet и как он иранские центрифуги ломал.
там используются специализированные ПЛК (типа Siemens Simartic и многих других)
которая вся в таких дырках, что винда на её фоне выглядит супер-стабильной. Достаточно просто почитать рассылку про найденные в софте Сименса баги - они там вообще с безопасностью не парятся, за такое качество уже наказывать пора...
но не них не реализуются алгоритмы требующие реального времени
Так для кучи производств алгоритмы реального времени и не нужны. И то, что какая-нибудь затворка откроется на полсекунды позже - никак не сказывается на результатах техпроцессов.
условно говоря, даже полная неработоспособность скады не должна привести к авариям, это золотое правило проектирования
Проблема в том, что ПЛК пишут люди, которых вообще нельзя подпускать к написанию софта в принципе. И там регулярно ловят такие эпичные баги, какие даже МС себе не позволяет уже с пару десятилетий как.
Так что я не знаю что у вас там за идеальный мир, а весь остальной сидит на дырявых контроллерах того же сименса, которые положить - как два байта переслать. Причем всё это в общей локалке с управляющим компом с виндой - который тоже вполне реально хакнуть. А снаружи всё это защищает какая-нибудь железка от cisco, у которой что ни месяц, то очередная рассылка вида "мы тут нашли новый способ обхода авторизации, обновитесь срочна!!!111"
Для тех сфер, где такая параноидальная надёжность не нужна (а логика работы гораздо сложнее), рынок (покупатели, пользователи, государства) рассудил, что там это излишне и приносит больше проблем чем пользы
Да-да. И нелетающие самолеты - это нормально, я понимаю /s
Достаточно просто почитать рассылку про найденные в софте Сименса баги - они там вообще с безопасностью не парятся, за такое качество уже наказывать пора...
Вы лучше расскажите когда конкретно ПЛК приводили к тому что "процесс сломался и произошел, например, выброс хлора, который ветром полетел на город". Конкретные примеры. И можем их обсудить.
Так что я не знаю что у вас там за идеальный мир, а весь остальной сидит на дырявых контроллерах того же сименса, которые положить - как два байта переслать.
Мир совсем не идеальный. Но при всей его неидеальности выбросы хлора, которые потом летят на города, происходят достаточно редко. Если вообще.
Вы лучше расскажите когда конкретно ПЛК приводили к тому что "процесс сломался и произошел, например, выброс хлора, который ветром полетел на город"
Ну с выбросами хлора сегодня немного сложновато найти - за такое долгое время очень больно били, поэтому сейчас это редкость. Пример я приводил от балды.
Но, например, один запрос в гугл дает вот такой интересный документ: http://we.easyelectronics.ru/plc/kriticheskie-oshibki-proektirovaniya-asu-tp-i-programmirovaniya-plk.html
"Ошибка при программировании привела к тому, что главный привод работал на «сухую» четыре часа, что привело к перегреву редуктора. В результате редуктор полностью вышел из строя, а это в данном оборудовании дорогостоящий элемент. Что же пошло не так? При выявлении причины аварии, приведшей к большим материальным затратам, было установлено, что ПЛК перешел в режим «СТОП» по причине срабатывания сторожевого таймера. Соответственно, релейная схема отключила всё вспомогательное оборудование, кроме главного привода."
Мир совсем не идеальный. Но при всей его неидеальности выбросы хлора, которые потом летят на города, происходят достаточно редко. Если вообще.
Потому что за каждый такой выброс государство очень больно карало вообще всех причастных. Годами. Поэтому сегодня вероятность выброса хлора на город довольно низкая.
Кого государство покарало за бесконечные проблемы с их софтом?
Та же Cisco регулярно, чуть ли не каждый месяц фиксит баги с авторизацией. Её за такое давно уже надо было бы наказать. Но это ИТ - его никто не регулирует, поэтому компании можно спокойно косячить и дальше.
Но, например, один запрос в гугл дает вот такой интересный документ:
В котором написано что "Ошибка при программировании привела" . То есть проблема не в самом ПЛК, а в том что кто-то его неправильно использовал.
Так ведь никто и не утверждал что ПЛК сам по себе каким-то магическим способом защищает от факапов. ПЛК спасает от факапов софта если его правильно использовать. Поэтому в критических продуктах у вас есть несколько "уровней защиты от факапов". В софте. В ОС. В ПЛК. В электронике. В механике. И никто никогда не требует чтобы каждый уровень давал 100% защиту. Банально потому что это нереально. И поэтому для каждого уровня прописан какой-то допустимый уровень факапов. Ну если совсем грубо.
Кого государство покарало за бесконечные проблемы с их софтом?
Те же самые условные химкомбинаты, которые ставили у себя проблематичный софт. Ну если это приводило к выбросам.
И это абсолютно правильный подход. Например потому что тот, кто пишет код, далеко не всегда знает что его софт кто-то решит использовать на химкомбинате или в каком-то другом критическом процессе. Он в лучшем случае продаёт код с определёнными характеристиками(условно говоря что-то вроде 99,999% времени аптайма или ещё что-то в этом роде). Почему же он тогда должен отвечать за факапы владельцев химкомбината?
На хим. заводах теперь больше не бывает различных ЧП? Контроль работает на 100%?
Критическая разница в том, что если химзавод допустит косяк масштаба как у CrowdStrike, то всё его руководство пойдёт по миру. Это создаёт для руководства химзаводов мотивацию воздерживаться от, кхм, необдуманных организационных решений, типа упомянутого в соседнем топике "чота тесты перед деплоем слишком его задерживают, давайте лучше сначала деплоить и потом тестировать". Софтостроитель же в случае косяков не рискует примерно ничем: в худшем случае подсократят годовой бонус.
Ещё раз: это не так что в ИТ вообще нет контроля. Он есть, но он не даёт 100% гарантии. Точно так же как и в куче других отраслей.
Контроль в ИТ точно такого же качества "as-is", как и всё остальное ИТ; и за дефекты, пропущенные ИТ-контролем, никого ни к какой ответственности привлечь невозможно. В других отраслях -- не так.
Критическая разница в том, что если химзавод допустит косяк масштаба как у CrowdStrike, то всё его руководство пойдёт по миру.
Да вообще-то нет. Штрафы они конечно заплатят. Но вот насчёт пойдут по миру я очень сомневаюсь. Тот же PG&E даже после "рекордных штрафов" по миру не пошёл и вполне себе существует и дальше.
И я уверен что и Crowdstrike влетит на штрафы и компенсации. Как минимум с какими-то своими корпоративными клиентами.
Контроль в ИТ точно такого же качества "as-is", как и всё остальное ИТ;
ИТ оно очень разное. И контроль в нём очень разный.
То есть не стоит в этом контексте мешать в одну кучу производителей медицинского софта и тех кто пишет приложения "три в ряд" для смартфонов.
ИТ оно очень разное. И контроль в нём очень разный.
То есть не стоит в этом контексте мешать в одну кучу производителей медицинского софта и тех кто пишет приложения "три в ряд" для смартфонов.
На прошлой работе у нас писали критический софт для автомобилей. Контроль и сертификация были обязательными, но в момент одобрения кода наша и контролёров ответственность заканчивалась -- с этого момента за все наши косяки отвечал бы автопроизводитель.
Ну вот мы например точно так же предлагаем решения для Tier1-OEM в автоиндустрии. И у нас в договорах вполне себе прописана ответственность за наши косяки.
Более того я знаю что как минимум пару раз нашей фирме действительно приходилось отвечать за наши баги.
Если у вас ничего такого в договорах прописано не было, то это уже вопрос к автопроизводителю почему он решил обойтись без этого и целиком взять ответственность на себя.
Проблема в том, что упал-то как раз не медицинский софт, который дополнительно перепроверяют и лицензируют...
Софт, который используется в медицине, это и будет "медицинский софт".
Даже если вы в медицине где-то используюте антивирус, то это ваша задача оценить риски и покупать только антивирус, который соответственно проверен и лицензирован.
Ага. И, конечно же, последний апдейт CrowdStrike для томографов кто-то проверил, прежде чем его туда накатить, да? Фотографии с синим экраном нам это наглядно же показывают /s
Я что-то не могу найти фотки томографов с синим экраном из-за бага Crowdstrike. Но если они были, то сколько людей от этого умерло или получило травмы?
Прям рядом в соседней новости https://habr.com/ru/news/829912/
Но если они были, то сколько людей от этого умерло или получило травмы?
Разве речь об этом шла? Мы говорили о том, что медицинский софт дополнительно проверяется на качество. В итоге проблема вылезла не из-за этого софта, а из-за вспомогательного - антивируса. Который почему-то никто не проверял, несмотря на то, где он использовался.
Разве речь об этом шла? Мы говорили о том, что медицинский софт дополнительно проверяется на качество.
Конечно проверяется. В контексте нанесения вреда жизни или здоровью людей.
А в контексте финансовых рисков для медицинских учреждений не проверяется. Ну или точнее это медицинские учреждения проверяют или не проверяют сами.
Сейчас на рынке существует исключительно "дешевый, но без гарантий" софт. Вы в принципе не сможете купить что-то иное, его не делают.
Делают. Поинтересуйтесь как софт для авиации делают. Да - факапы бывают и там но подходы немного другие. И да, это сильно дороже.
Потому что факапы с АЭС - расследуются, в том числе с участием МАГАТЭ, даже если это выглядит мелочью. И проблемы - фиксят. Даже Чернобыль - там устроили эксперимент непродуманный а не "оно само", причем потом - придумали кучу дополнительных мер безопасности и в новых АЭС учитывают (ну в тех местах где новые АЭС строят конечно)
Ну так и этот факап никто никому не мешает исследовать. И там где это создало проблемы решить что нужно делать чтобы этог больше не повторялось.
Условно говоря если из-за этого не работали больницы, то стоит задуматься о каких-то стандартах для софта в медицине. Ну если их ещё нет.
А условному торговцу овощами на это всё наплевать и ему такие же стандарты даже близко не нужны.
Для закрытого софта тоже возможен аудит, как государственный (типа FIPS и так далее), так и частный.
Нажимаете под это дело сертифицированную контору, она подписывает NDA с вендором и получает исходники для анализа.
Но платить за все это придется вам, раз вам зачем-то это надо. Большинство решило, что им это не надо.
Насколько я понимаю как это работает (могу и ошибаться), то целью аудита там не является проверка качества. Ищут дырки, ищут не заложены ли ошибки в алгоритмах шифрования.
Это зависит от того какой аудит вы проходите и/или какую сертификацию хотите получить.
Там вариантов вагон и маленькая тележка.
Ну вот я всё-таки к тому, что на какие-то части софта надо вводить принудительный аудит на качество. Возможно даже с фиксацией логики и запретом изменения без соотв. аудита. Ну как у того же антивируса - базы менять можно сколько угодно, а драйвер, которым он команды перехватывает уже так просто не поменять.
Это, несомненно, затормозит развитие. Но с другой стороны, если драйвер нельзя поменять, то и MS, например, уже не сможет просто так взять и сломать внутренние api - их никто в этой ситуации не поддержит. Да и ту же MS/Windows опять-таки пора бы в отдельных частях/api прибить гвоздиками с запретом глобальных изменений.
Т.е. в какой-то момент имеет смысл приостанавливать вот это вот всё ради бОльшей стабильности. Как мы наглядно видим, сами по себе компании такое делать не желают - в этот момент и должно приходить государство с дубинкой (аудитом, лицензированием и т.п.)
Только государство может заставить, например, MS и антивирусные компании согласовать и зафиксировать api для работы антивирусов. Чтобы не нужно было разные хаки использовать, как это делается сейчас. Потому что сейчас - это самостоятельные компании, которые друг с другом не обязаны дружить.
Ну вот я всё-таки к тому, что на какие-то части софта надо вводить принудительный аудит на качество.
Ну так на какие то части это так и есть.
Но абсолютно нет смысла вводить принудительный аудит на качество для абсолютно всех антивирусов, ОС и драйверов.
Это, несомненно, затормозит развитие.
Несомненно. И лично для меня минусы такого подхода заметно перевешивают плюсы. Поэтому я такого точно не хочу. И я такой совсем не один.
Т.е. в какой-то момент имеет смысл приостанавливать вот это вот всё ради бОльшей стабильности.
На мой взгляд нет. Особенно учитывая что нет никаких проблем в том чтобы ввести аудит для отдельного софта.
Ну если лично вам этого хочется, то покупайте только тот софт, который прошёл подходящий аудит. А если такого софта нет, то значит либо пишите его сами, либо платите другим чтобы они вам его сделали.
Но абсолютно нет смысла вводить принудительный аудит на качество для абсолютно всех антивирусов, ОС и драйверов.
Так я, как бы, это и не предлагал. Я раз десять уже написал, что нужен отдельный класс софта, с упором именно на качество в ущерб остальному. Если домашний антивирус навернется - ничего сильно страшного. А если антивирус наворачивается в томографе, то, наверное, все-таки что-то тут не то, вам не кажется?
И лично для меня минусы такого подхода заметно перевешивают плюсы. Поэтому я такого точно не хочу.
Вы упорно читаете что-то свое, но не то, что я пишу. Никто же вам не предлагал остальной софт запретить. Но вы упорно это пропускаете и пишете так, будто я за то, чтобы вообще всё запретить и выпускать только проверенный лицензированный софт. Не надо так...
Ну если лично вам этого хочется, то покупайте только тот софт, который прошёл подходящий аудит. А если такого софта нет, то значит либо пишите его сами, либо платите другим чтобы они вам его сделали.
Я еще раз повторяю, что это уже зона ответственности государства. Именно оно отвечает за безопасность еды, хим.прома, пожарную безопасность и еще кууучу всякого.
Почему по вашему мнению именно для софта надо делать исключение я всё ещё не могу понять.
Я раз десять уже написал, что нужен отдельный класс софта
Кому нужен? И если он кому-то там нужен, то пусть они его и делают. И за него и платят. В чём проблема? И зачем сюда привлекать государство?
Я еще раз повторяю, что это уже зона ответственности государства.
Почему? Зачем оно здесь нужно?
. Именно оно отвечает за безопасность еды, хим.прома, пожарную безопасность и еще кууучу всякого.
Ну и достаточно. И если кто-то из этих людей хочет использовать софт, то это его задача удостовериться что этот софт достаточно "качественный" для того где он будет применяться. Потому что у АЭ, авиации, военных, медиков и так далее будут очень разные требования к качеству софта. А вы хотите всех под одну ребёнку грести.
Максимум это государство может само разрабатывать подходящий софт и продавать его желающим. Но что-то есть у меня сомнения что из этой идеи выйдет что-то хорошее. Вне зависимости от того про какую страну мы говорим. Поэтому лично я не хочу чтобы моё государство тратило мои налоги на такие глупости.
Кому нужен? И если он кому-то там нужен, то пусть они его и делают. И за него и платят. В чём проблема? И зачем сюда привлекать государство?
Я опять-таки написал, что это - зона ответственности государства. Оно обеспечивает безопасность. Именно оно заставляет компании делать хорошо, а не дешево. Даже если это дороже. И это делается прям буквально везде, во всех отраслях. Кроме ИТ.
Почему? Зачем оно здесь нужно?
Потому что это - работа государства. Так делается во всех отраслях, кроме ИТ.
Ну и достаточно. И если кто-то из этих людей хочет использовать софт, то это его задача удостовериться что этот софт достаточно "качественный" для того где он будет применяться.
А если вы хотите съесть тортик, то это ваша задача проверить компанию-производитель, её поваров и всех её поставщиков. Ну это же ведь так и работает, правда? /s
Я опять-таки написал, что это - зона ответственности государства. Оно обеспечивает безопасность
Безопасность чего? Вот у меня на работе стоит комп, на нём ОС, драйвера и антивирус. Я с этим всем работаю. Какую опасность они представляют? Что и зачем тут надо регулировать.
Так делается во всех отраслях, кроме ИТ.
Вообще-то нет. Это делается не во всех отраслях. И даже в тех отраслях где это делается регулируются только отдельные аспекты.
А если вы хотите съесть тортик, то это ваша задача проверить компанию-производитель, её поваров и всех её поставщиков
А если я хочу скормить тортик свинье или там просто использовать его для декорации, то государство его тоже должно контролировать как и тортик, который кто-то хочет съесть?
Ещё раз: если продукт может представлять угрозу для жизни и здоровья, то его надо контролировать. Но только в том контексте где он действительно представляет угрозу. И с софтом поступают точно так же.
Другое дело что контроль не даёт гарантии 100%. Ни в случае с тортами, ни в случае с софтом.
Безопасность чего? Вот у меня на работе стоит комп, на нём ОС, драйвера и антивирус. Я с этим всем работаю. Какую опасность они представляют? Что и зачем тут надо регулировать.
Безопасность всего. Вообще всего. В какую отрасль вы не ткнете - там есть ГОСТЫ, лицензирование, сертификаты качества, контрольные проверки - и всё это контролируется государственными органами.
Кроме ИТ. В ИТ вы можете творить любую дичь и никто вас никаким образом не контролирует. Кроме денежной стимуляции от клиентов, которая, как показывает мировая практика, принципиально не заточена на безопасность (причем так в любой отрасли - именно поэтому в итоге и появились государственные контролирующие органы).
Это делается не во всех отраслях. И даже в тех отраслях где это делается регулируются только отдельные аспекты.
Давно уже во всех. И я всё ещё не понимаю в чем проблемы с ИТ регулировать отдельные аспекты? Никто не мешает вам поставить непроверенный софт. Но это будет ваш личный выбор. А в критичной инфраструктуре должен стоят софт совершенно иного качества - но его, по факту, нет. Код антивируса для гос.организаций вообще ничем не отличается от антивируса для дома.
Ещё раз: если продукт может представлять угрозу для жизни и здоровья, то его надо контролировать.
Так я про это и пишу! Но соответствующих органов для ИТ-отрасли просто не существует. Есть отдельные механизмы, появившиеся в следствие требований других отраслей. Т.е. они не чисто-ИТшные.
И с софтом поступают точно так же.
Да никто так не поступает. И одно обновление от МС уже в который раз ставит раком кучу жизненноважных организаций. Новостей такого рода - целая куча.
А если я хочу скормить тортик свинье или там просто использовать его для декорации, то государство его тоже должно контролировать как и тортик, который кто-то хочет съесть?
Такой тортик вы сможете купить только с рук. Но не в магазине. И государство вам совершенно не мешает это делать. А вот тем, кто торгует в магазинах - бьет по рукам, чтобы они такую продукцию вам не продавали.
Другое дело что контроль не даёт гарантии 100%.
Никто и никогда не дает гарантии в 100%. Ни в какой отрасли. Но в софте у нас эти гарантии даже не 90%, а давно уже ниже 50%.
Безопасность всего. Вообще всего
Тогда давайте начнём с регуляции шнурков. А то можно о них споткнуться и упасть.
В какую отрасль вы не ткнете
Ткните в мою и мой комп. В чём опасность и почему его надо регулировать?
Давно уже во всех
Кто и как проверяет шнурки?
И я всё ещё не понимаю в чем проблемы с ИТ регулировать отдельные аспекты?
В том что это без особой необходимости поднимает расходы для всех. У вас есть лишние деньги? У меня нет.
Так я про это и пишу!
Нет. Вы предлагаете регулировать софт без привязки к тому где он конкретно используется. Антивирус в овощной лавке регулировать не надо. Мою фирму тоже регулировать не надо.
Такой тортик вы сможете купить только с рук. Но не в магазине.
У нас есть кондитеры, которые вам сделают любой торт. В том числе они делают не съедобные торты для декораций.
Тогда давайте начнём с регуляции шнурков. А то можно о них споткнуться и упасть.
Что за тупое передергивание? Или вы не в курсе, что материал шнурков как минимум проверяется на ядовитость. И что он не радиоактивный. И еще куча всякого проверена - причем не обязательно производителем шнурков, а производителями этого материала. И поставщиками этих производителей.
Ткните в мою и мой комп. В чём опасность и почему его надо регулировать?
Покажите пальцем, где я предлагал регулировать ваш комп?
Кто и как проверяет шнурки?
Я уже ответил: материалы - точно проверяются. Производители материалов точно делают это по ГОСТам, которые опять-таки были проверены и регулируются. Даже станки производителя шнурков сделаны по ГОСТам и проверены.
В том что это без особой необходимости поднимает расходы для всех.
Не для всех, а для тех, где это критично. Перестаньте уже передергивать: никто не предлагает регулировать ВЕСЬ софт. Речь с первого комментария шла исключительно о критической инфраструктуре. И о софте, который стоит у большого процента клиентов. Грубо говоря, пока ты маленький и/или от тебя ничего важного не зависит - всем плевать как ты там софт пишешь.
Нет. Вы предлагаете регулировать софт без привязки к тому где он конкретно используется
Покажите где я такое предлагал.
Конкретно антивирусы использует вся планета. Производителей антивирусов - мало. Каждый из них уже хотя бы раз, да факапился. В пром.производстве это бы привело к расследованию государственными органами, выработке документов "как не надо делать в будущем" и распространению этих требований на всех производителей в отрасли.
В ИТ сейчас такое вообще в принципе не возможно. Нет ни организаций, ни (принудительных) глобальных ограничений "как делать не надо". Нет и передачи опыта между организациями всё с тем же "как делать не надо". Нет проверок, что организация точно пишет код с учетом предыдущих факапов в отрасли.
У нас есть кондитеры, которые вам сделают любой торт. В том числе они делают не съедобные торты для декораций.
Но в магазин такой торт возьмут только если у кондитера будет соответствующий сертификат, выдаваемый государственным органом. И только если кондитер сможет предоставить сертификаты качество на материалы торта.
Еще раз повторю - личное использование и единичные продажи особо не проверяются (но при серьезном факапе вас посадят в тюрьму). А то, что потенциально может повлиять на массы людей - обязательно контролируется по всей цепочки от производства материалов до конечной продукции + проверяется и сама точка продажи, что там нет проблем, например, с гигиеной продавцов.
Мне кажется, в физическом мире (не-ИТ) уже не осталось мест, где хотя бы в части цепочки производства и продажи товара не сидел бы проверяющий от государства.
Что за тупое передергивание?
А почему нет? Тут даже прямая угроза жизни и здоровью людей есть. В отличии от антивирусов.
Покажите пальцем, где я предлагал регулировать ваш комп?
Ну то есть всё-таки "обычные" фирмы могут сами решать какой антивирус они хотят использовать? И их регулировать не надо?
А надо регулировать только фирмы от которых зависит жизнь и здоровье людей? Ну так их и сейчас регулируют. Так что конкретно вы хотите изменить то?
Но в магазин такой торт возьмут только если у кондитера будет соответствующий сертификат,
Какой магазин? Кондитеры их делают и продают у себя в кондитерской. И нормальные торты и декоративные. Они вообще могут на прилавке рядом друг с другом стоять.
Ну то есть всё-таки "обычные" фирмы могут сами решать какой антивирус они хотят использовать? И их регулировать не надо?
Фирмы не могут такое решать. Фирма не сможет купить станок, сделанный в гараже нонеймом. Т.е. такое, в принципе, допустимо для мелкой фирмочки, от которой мало что зависит. Но начиная с некоторых размеров появляется государство и говорит, что для станка надо соблюсти вот эти ГОСТы и получить сертификат качества, выполнив определенные требования.
Прекратите уже смешивать сущности. А то вас постоянно мотыляет от домашнего использования к корпоративному и обратно.
А надо регулировать только фирмы от которых зависит жизнь и здоровье людей? Ну так их и сейчас регулируют. Так что конкретно вы хотите изменить то?
Когда вы начнете читать мои комментарии полностью, а не выборочно, то, наверное, поймете. Хотя я уже не уверен
Какой магазин? Кондитеры их делают и продают у себя в кондитерской.
Ага. Которую раз в 3 месяца росздравнадзор приходит и проверяет на пищевую безопасность. А кондитер - получил официальное образование в ВУЗе, где ему рассказали как делать точно не надо. Причем список требований к ВУЗу что рассказывать - опять-таки установило государство. А еще всё то же самое государство заставляет раз в год проверять здоровье кондитера, чтобы хоть как-то убедиться, что он не болен и не навредит своими тортами покупателям.
Вы почему-то смотрите только в конечную точку, игнорируя вообще всю цепочку, которая начинается с производства материалов. А там по этой цепочке обязательное госрегуглирование буквально на каждом этапе.
И даже если у вас кондитер-частник и делает торт для себя, то в общем случае материалы он покупает в магазине и они все проверены государством. И кастрюли - тоже по ГОСТам и с пищевыми сертификатами. Т.е. конечный этап производства "для себя" пусть косвенно, но тоже зарегулирован.
Фирмы не могут такое решать
Сейчас могут. Моя фирма сама может выбирать ОС и антивирусы. Почему это плохо? Зачем нас нужно регулировать?
Когда вы начнете читать мои комментарии полностью, а не выборочно, то, наверное, поймете.
Я читаю. Но всё ещё не могу понять что конкретно вы хотите. Поэтому и задаю вопросы. Вы на них можете ответить то?
Вы хотите чтобы появился какая-то категория "критического софта" где будут какие-то ОС, какие-то антивирусы, какие-то драйвера и так далее? Но при этом моей фирме можно будет делать и использовать и "обычные варианты"? Так зачем тогда кому-то делать этот "критический софт" и почему они сейчас его не делают?
Или вы хотите заставить **абсолютно все*а фирмы использовать только такой софт? Но это приведёт к увеличению стоимости всего вокруг. И мне такое точно не надо. И я буду сопротивляться этому всеми доступными мне способами. И не только я.
Так чего вы конкретно хотите то?
Которую раз в 3 месяца росздравнадзор приходит и проверяет на пищевую безопасность.
Да это сколько угодно. Но декоративные торты росздравнадзор не интересуют. И торты для свиней тоже.
Почему это плохо? Зачем нас нужно регулировать?
Чтобы вы не выбирали заведомую фигню, которая заведомо приведет к проблемам. Причем про то, что это приводит к проблемам уже известно - именно из-за них и появляется гос.регулирование.
Вы хотите чтобы появился какая-то категория "критического софта" где будут какие-то ОС, какие-то антивирусы, какие-то драйвера и так далее?
Да.
Но при этом моей фирме можно будет делать и использовать и "обычные варианты"?
Да. Пока государство не решит, что именно вам так нельзя. А решит оно так только когда кто-то типа вас получит внезапный факап с нанесением вреда окружающим.
Т.е. требования и ограничения не берутся из воздуха - они следствие.
Или вы хотите заставить **абсолютно все*а фирмы использовать только такой софт?
Зависит от категории софта. Где-то - только так, да. Где-то вообще без разницы, что вы будете использовать
Но декоративные торты росздравнадзор не интересуют. И торты для свиней тоже.
Я уже раз пять подробно расписал, что в цепочке производства росздравнадзор присутствует несколько раз: на этапе производства материалов, на производстве условных кастрюль. На запретах магазинам продавать вредные вещества для пищевого производства.
Даже если на конкретном конечном этапе вы росздравнадзор не видите - он всё равно там косвенно есть.
Чтобы вы не выбирали заведомую фигню, которая заведомо приведет к проблемам.
Мы не выбираем фигню. Мы прикидыааем риски и выбираем устраивающий нас вариант цена-качество. Зачем запрещать нам это делать?
Да. Пока государство не решит, что именно вам так нельзя
Чем это отличается от той ситуации что мы имеем сейчас?
Зависит от категории софта
Ну давайте возьмём антивирусы. Как с ними будет?
Мы не выбираем фигню. Мы прикидыааем риски и выбираем устраивающий нас вариант цена-качество. Зачем запрещать нам это делать?
Потому что если фирмам не запретить, то такие фирмы почему-то начинают экономить до того, что покупатели помирают. Именно из-за этого и появилось гос.регулирование, а не потому что чиновники кормушку придумали.
Чем это отличается от той ситуации что мы имеем сейчас?
Тем, что факап CrowdStrike - личный факап этой фирмы. Завтра очередной антивирус сделает точно такой же факап, потому что в отрасли нет никакой передачи опыта "как делать не надо". Какая-то передача, конечно, есть, но она вообще не принудительная + знания передают только частично. Госконтроль же делает передачу опыта обязательной - и следит за этим, наказывая тех, кто не следует best practices.
Ну давайте возьмём антивирусы. Как с ними будет?
Я уже раз 15 написал как с ними будет. Вы это всё проигнорировали и топите за что-то своё, причем отвечая мне на что-то выдуманное вами, вместо того, что я писал.
Потому что если фирмам не запретить, то такие фирмы почему-то начинают экономить до того, что покупатели помирают.
Ну так и расскажите кто умер от того что фирмы пищущие софт сэкономили на антивирусах? Кто вообще от этого умер?
Тем, что факап CrowdStrike - личный факап этой фирмы.
И? В чём проблема? Кто от этого умер? Почему теперь надо регулировать именно антивирусы? Причём абсолютно все антивирусы?
Ведь если контролировать не все, то та же фирма Crowdstrike и дальше будет факапить. И кто-то и дальше будет пользоваться её антивирусами.
У вас очень-очень-очень большие проблемы с пониманием прочитанного. Вы читаете избирательно и понимаете из прочитанного что-то своё, вообще не связанное с изначальным текстом.
Вред здоровью - это вообще какой-то ваш личный фетиш. Ни в одном моем комментарии я на него не упирал и не называл его причиной. Помимо вреда здоровью есть ещё 100500 видов вреда - но для вас они почему-то не существуют.
Почему теперь надо регулировать именно антивирусы? Причём абсолютно все антивирусы?
Антивирусы были взяты как пример. Помимо антивирусов есть еще целая куча видов софта, которая так же давно напрашивается на регулирование.
И если конкретно про антивирусы, то регулировать их надо потому, что они в состоянии положить всю ОС. А какой-нибудь калькулятор - нет (не совсем нет, но вероятность этого для калькулятора стремится к нулю). И именно поэтому их надо более жестко контролировать. Ровно так же какой-нибудь боинг зарегулирован десятком тысяч документов, а квадрокоптеры - вообще нет. Уровень угрозы разный.
Вред здоровью - это вообще какой-то ваш личный фетиш
Вред здоровью это причина по которой я готов терпеть регуляции и платить больше.
Вводить регуляции из-за возможных финансовых рисков компаний я не вижу смысла.
Антивирусы были взяты как пример.
Ну так давайте на их примере и разберёмся.Почему в выше описанной ситуации надо регулировать именно антивирусы? Причём абсолютно все антивирусы?
А не скажем производителей томографов? Или больницы? Или авиакомпании?
И если конкретно про антивирусы, то регулировать их надо потому, что они в состоянии положить всю ОС.
И что? Почему это должно быть такой гигантский проблемой что теперь надо регулировать все антивирусы? В том числе и антивирус, который использует владелец лавки с овощами? Что такого ужасного произойдёт если у него ляжет ОС?
Вводить регуляции из-за возможных финансовых рисков компаний я не вижу смысла.
Ну а я вижу смысл.
Почему в выше описанной ситуации надо регулировать именно антивирусы? Причём абсолютно все антивирусы?
Потому что факап антивируса приводит к невозможности использовать компьютер вообще. Это - критичное ПО. К нему нужно применять методы разработки критичного ПО, что повышает затраты. Поэтому добровольно фирмы-разработчики так делать не будет и единственный, кто может их принудить - государство. И нет, финансовая стимуляция в реальном мире не работает и эту проблему самостоятельно не решит. "Невидимой руки рынка" в реальном мире не существует
А не скажем производителей томографов? Или больницы? Или авиакомпании?
И этих тоже. Их уже регулируют. Почему там попал не-регулируемый софт в лице антивируса - кто его знает. По идее, теперь должны и использование антивирусов зарегулировать в этих местах.
И что? Почему это должно быть такой гигантский проблемой что теперь надо регулировать все антивирусы?
Не абсолютно все, а те, что влияют на критичные производства или большое количество людей. Антивирус "От Васяна", который использует 2 клиента дома, очевидно, мало кого волнует и никто его регулировать не будет.
В том числе и антивирус, который использует владелец лавки с овощами? Что такого ужасного произойдёт если у него ляжет ОС?
Поэтому такому клиенту и не будут выставляться требования от государства на ограничение допустимого для использование списка антивирусов. Это очевидно же и я не понимаю, с чем вы боретесь.
Потому что факап антивируса приводит к невозможности использовать компьютер вообще.
Так ещё раз: почему вы считаете что это каждый раз приводит к проблемам, которые надо регулировать? Почему нужно регулировать именно все антивирусы? А не тех кто их применяет в критических ситуациях?
И этих тоже. Их уже регулируют
Ну так и достаточно. То есть если регуляции работают, то этих должно хватать. Если не работают, то надо менять регуляции для этих отраслей/ситуаций.
По идее, теперь должны и использование антивирусов зарегулировать в этих местах
Отлично, зарегулируйте. И этого достаточно. Зачем какие-то регуляции для антивирусов в других отраслях-фирмах?
Только я открою вам страшную тайну: это давно уже там зарегулировано. Помогло это?
Так ещё раз: почему вы считаете что это каждый раз приводит к проблемам, которые надо регулировать? Почему нужно регулировать именно все антивирусы?
Ещё раз повторю, что вы читаете что-то своё, а не то, то я пишу. Потом начинаете с этим выдуманным бороться.
Я НЕ ПРЕДЛАГАЛ регулировать ВСЕ антивирусы.
Ну так и достаточно. То есть если регуляции работают, то этих должно хватать. Если не работают, то надо менять регуляции для этих отраслей/ситуаций.
Ну так это очевидным образом нас и ведет к тому, что нужна спец.версия антивируса для регулируемых отраслей. Которой сейчас в природе вообще не существует.
Зачем какие-то регуляции для антивирусов в других отраслях-фирмах?
Так я их и не предлагал. Это вы сами их выдумали и теперь с этим выдуманным сражаетесь!
Я НЕ ПРЕДЛАГАЛ регулировать ВСЕ антивирусы.
Тогда чем это отличается от того что мы имеем сейчас? Сейчас у вас есть антивирусы, которые работают по ГОСТам, и антивирусы, которые этого не делают. Выбирай какой хочешь.
Ну так это очевидным образом нас и ведет к тому, что нужна спец.версия антивируса для регулируемых отраслей. Которой сейчас в природе вообще не существует.
Ну так если вы обязуете регулируемые отрасли использовать только "спецверсии антивирусов" , то они вообще перестанут пользоваться антивирусами. Ведь спецверсий то нет. И чего вы добьётесь? Как это улучшит ситуацию?
Тогда чем это отличается от того что мы имеем сейчас? Сейчас у вас есть антивирусы, которые работают по ГОСТам, и антивирусы, которые этого не делают.
И что, ДрВеб поделится способ решений проблем с Касперским? Да нифига - каждый как варился в собственном соку, так и продолжает. И то, что одна компания наступила на грабли сейчас вообще никак не мешает другой компании наступить ровно на те же самые грабли.
В материальном же мире - грабли тщательно опишут, внесут в бумажки "как не надо делать" и принудительно распространят на все компании отрасли. И заставят эти бумажки учитывать.
А в ИТ такого нет.
Ну так если вы обязуете регулируемые отрасли использовать только "спецверсии антивирусов" , то они вообще перестанут пользоваться антивирусами. Ведь спецверсий то нет. И чего вы добьётесь? Как это улучшит ситуацию?
Ну вообще-то, обычно это приводит к разработке новых. Ну т.е. так работает во всех отраслях, почему в ИТ вдруг это не будет работать? В чем разница-то? В смузи?
Разница в том, что сейчас создаётся экономической ценности и пользы на триллионы долларов для потребителей таких сортов и видов, которых никакой регулятор в бредовых фантазиях не предоставит от такого спектра производителей софта, что мало кто осознает -- от триллионных корпораций до опенсорс сообществ из волонтёров со всего мира до случайных подростков, пишущих макросы в Экселе для тёти работающей в банке или бог знает где ещё. Всё это приносит гигантское, невообразимое улучшение жизни миллиардам людей.
Да иногда это говнокод, но этот говнокод может десятки лет заменять сотни и тысячи человеко-часов скучнейшей рутины и требовать внимания раз в жизни. Но этот раз будет катастрофическим как в обсуждаемом случае и начнется "говноделы программисты, зарегулировать их срочно! К сапогу! Пусть чиновники которые вообще не способны ничего создать и понять созданное угрожают разработчикам насилием и тюрьмой! Вот тогда заживём!".
Да, бывают ситуации с миллиардными убытками, но эти миллиардные убытки -- от триллионных прибылей, которые не возникли бы, не будь в мире столько разнообразнейшего софта, созданного по модели as-is. Заставь всех отвечать жопой за твои байты запущенные бог знает где и всё это разнообразие смоет как цунами.
Аптайм мирового АйТи -- миллиарды компьютеров 365 дней в год. И тишина. Инциденты -- доля процента на пару дней и всё, сразу плач о том как все плохо.
Кроме того, особенная ирония данного конкретного инцидента в том, что это именно регуляторы, великий и могучий Евросоюз не дали Майкрософту анально огородить ядро системы ещё двадцать лет назад. Почему? Ха! Для безопасности! Потому что антивирусные вендоры пролоббировали требование, чтобы их кривые драйверы можно было запускать в ядре и чтобы Майкрософт не мог этому препятствовать. Иначе, говорили они, они не смогут ловить все угрозы и конкурировать с самим Майкрософтом. Монополия, бла-бла-бла.
Следующий ироничный момент в том, что пострадали регулируемые отрасли, ха-ха. Те, с которых регуляторы, госты и отраслевые стандарты требуют ставить сторонний софт с набором нужных галочек, чтобы закрыть всякие требования по комплаенсу. Ну вот обязан ты держать на машине хрень, которая лезет в ядро и качает из сети бесконтрольно апдейты, чтобы закрывать галочку "реакция на угрозы за ХХ часов", потому что так государство решило и нет у тебя права своей головой придумать индивидуальное решение под свои задачи (тупо запретить запуск всего, кроме одной задачи, как можно потребоваться на тех же табло, например).
А клаудстрайк сейчас все равно сожрут, с еулой as-is или без. Ну была бы у них полная ответственность, то после такого факапа их бы распродали на аукционе и посадили СЕО и что? Появилось бы решение улучшеное после этого что ли магическим образом? Нет. А сейчас появится, если компания переживет этот эпизод, то тестирование у них будет нормальное, _такой же_ баг уже не пропустят.
Да и клиенты пересмотрят свои политики/чеклисты с требованиями к софту, будут следующего вендора уже по двойной программе тестировать. И все без всякого государственного контроля, потому что терпеть убытки на миллиарды от тупейшей предотвратимой проблемы нет желающих вообще. Поэтому этот кейс ещё годы и десятилетия будет ау в админских регламентах и разбираться в бизнес школах.
Индустрия прекрасно учится, у неё есть самая большая мотивация на это. Регулирование может лишь заморозить ситуацию в какой-то точке. Ах у нас столько багов, ах, у нас киберкрайм на миллиарды, ах у нас сотня утечек в год. Да, но у нас сотни тысяч, если не миллионы организаций, миллиарды пользователей, десятки миллиардов устройств, сотня триллионов долларов экономика. Конечно даже пыль под ногами этой махины будет миллиардами долларов с сотнями утечек. В новости попали 8 миллионов ПК которые сбоили, но не попали 3-4 миллиарда, которые продолжили работать и ещё десяток миллиардов мобильников и миллиард инфраструктуры для всего этого добра.
Ага, и перед полётом на самолёте каждый пассажир должен сам и за свой счёт проверить самолёт на пригодность? И, кстати, а исходники для экспертизы пользователю пропертарного софта дадут?
А пассажиров на самолётах тоже бесплатно возят?
Человек выше пишет про СПО. То есть он мало того что софт для вас бесплатно пишет, так ещё и экспертизу должен за свой счёт проводить?
Мы, кажется, про пропертарный софт говорили. И кстати, почему-то с опенсорсом такие эпик фейлы не случаются... Видимо, сказывается отсутствие жажды наживы?
Мы, кажется, про пропертарный софт говорили
В данной ветке человек написал "мне, как разработчику СПО".
Ну а если мы говорим про проприетарные вещи, то там очень часто действует принцип "любой каприз за ваши деньги". Если вам нужноюа экспертиза, то заплатите достаточно много и для вас её проведут. Любую какую хотите.
И кстати, почему-то с опенсорсом такие эпик фейлы не случаются...
Не случаются или про них не пишут в новостях? :)
Случаются да еще и не такие. Но масштабности подобной там нет. Потому что опенсорс ты можешь использовать или нет по желанию, а проприетарное оно за счет сертификатов, справок да и даже банальных откатов\лоббирования обязывает ставить свой софт.
Ну, расскажете самые яркие истории?
Мне сразу вспоминается история про линукс и "28 раз нажать backspace".
Из недавнего:
SSH regression . всего неделя уязвимости. Кстати это возвращение уязвимости 2006 года.
В июне кажется была другая дыра в SSH очень хитро эксплуатирующая связку с systemd.
Где то в декабре был баг в ядре, роняющий производительность дисковой подсистемы на виртуалувх почти в 0.
Из давнего сто вспомнил:
ssl heartbleed
Другое дело что корпораы сидят на ярах отстающих на 2-3 LTS релиза от мейнстрима чаще всего, поэтому много дыр даже не замечают. А люди реально пользующиеся апстримом скорее записаны в разряд гигов чем в серьёзный Энтерпрайз. Они же все эти баги и собирают.
Если кто-то хочет жить в доме бесплатно, то он волен делать это, когда захочет, или производить его аудит/экспертизу за свои деньги, или просто отказаться от проживания. Свобода — она такая.
Не всё так просто - это здание нельзя оформить как жилье, нельзя продать или застраховать. А еще - через год-два могут прийти злые представители государства и заставить его снести как незаконную постройку. А если ты это не сделаешь сам - то ещё и сами его снесут.
Так что свобода тут какая-то не очень свободная.
С каких пор нужно какие то разрешения чтобы домик в деревне маленький строить (или вообще шалаш в лесу). А если кто-то еще решил эту разработку использовать - почему это - мои проблемы?
Любой дом можно строить только на землях, которые соответственно классифицировало государство. За шалаш в лесу - к вам вообще придет лесник и накажет как минимум штрафом.
А если кто-то еще решил эту разработку использовать - почему это - мои проблемы?
Я уже приводил в пример бабушку с пирожками.
Я согласен, что в такой ситуации это не ваши проблемы. Просто никто серьезно и массово такой ваш софт не должен был бы использовать вообще, в принципе (а дома для личного пользования - пожалуйста). И в первую очередь именно потому, что вы за него не отвечаете и в случае факапа взять с вас нечего. А сейчас у нас прямо наоборот всё и самый популярный критичный софт вообще совместное творчество - т.е. даже виноватого потом не наказать, т.к. он будет в другой юрисдикции.
Страсть к наказаниям и использование уменьшительно-ласкательных суффиксов занятно кореллирует.
Но, о наших баранах. Есть два вида транспорта - авиация и авто. Первый зарегулирован сильно, второй - не очень. Сколько у нас самолётов и сколько автомобилей? Аналогия понятна?
Вы про креш-тесты и техосмотр что-нибудь слышали? Ну и да, за дизельгейт прилетают штрафы.
А вы про сертификацию в авиации что-нибудь слышали? Про то какой запас прочности закладывается, про то как системы дублируются на случай отказа? Про то сколько из-за этого стоит самолёт по сравнению с автомобилем?
А знаете как упадут цены в ресторанах, если им разрешить кормить посетителей тухлятиной и перестать соблюдать гигиенические нормы? ))
Ну если вам настолько всё нужно разжевать - пожалуйста. Когда я приводил аналогию с разницей между авто/авиа, я хотел обратить ваше внимание на такую вещь как сообразность. В авто нет смысла в столь суровых проверках и дублировании, характерных для авиации, потому что это разные вещи. И цена ошибки на высоте 10 км. и на улице города разная. Вы же, по глупости ли, по невежеству ли, гребёте всё под одну гребёнку.
Ну а зачем ресторанам риски оказаться засуженными за тухлый салат? Чтобы Вы там не отравились
Ресторанам в этом плане относительно просто. У них есть стандарты по гигиене, которые надо соблюдать. И если они их соблюдают, то уже как минимум никого не посадят.
А для остального есть страховки. Ну если совсем упрощать. А страховки это значит что просто цена для посетителей будет немного выше.
Ну, а тестировать перед релизом на миллиард компов - это не стандарт?
А вы считаете что они вообще не тестировали? Очень сомневаюсь.
И я готов с вами на что угодно спорить что Crowdstrike регулярно проходит различные аудиты и имеет целый ряд сертификатов по различным ГОСТам. То есть какие-то там стандарты они тоже соблюдают.
А вы считаете что они вообще не тестировали? Очень сомневаюсь.
Если тестировали, то как же оно так получилось? Я бы ещё понял, если бы были отдельные проблемы на каком-то одном специфическом железе или версии. Но положили ведь все виндовые компы, если я не ошибаюсь.
Если тестировали, то как же оно так получилось?
А если авиацию так хорошо регулируют, то почему самолёты продолжают падать?
Тесты и регуляции не дают вам 100% гарантии.
P.S. Залез на страницу Crowdstrike. Вон они хвастаются сертификациями: https://www.crowdstrike.com/why-crowdstrike/crowdstrike-compliance-certification/
Да, такое бывает. Значит, Вы правы, нет никакого смысла регулировать авиацию /sarcacm
Регулировать иногда имеет смысл, а иногда нет. При этом никакая регуляция не даст вам 100% гарантий. Но приведёт к дополнительным расходам.
И кстати софт в авиации тоже зарегулирован по самое немогу.
И об этом и речь: если кто-то использует софт и при этом ошибки могут привести к каким-то достаточно плохим последствиям, то этот софт наверное нужно регулировать. И если Crowdstrike недостаточно безопасен, то просто не надо его там использовать.
Но нет смысла регулировать всё ИТ. Потому что грубо говоря если у вас баг в браузерной игре, то от этого вряд ли кто-то умрёт.
Сама возможность выкатывать обновления каждый день расслабляет. В прошлом разработчики знали, что они отправляют релиз на болванку - и все, после этого софт, может, никогда не будет обновляться. А теперь почти весь софт надоедает обновлениями почти ежедневно.
Не не пора ли уже законодательно запретить отказ от ответственности в пользовательских соглашениях?
Либо стоимость в разы, либо работать не будет.
Ну и вы должны понимать, что брать на себя ответственность сильно выше стоимости лицензии - это очень большой риск. Да и вообще, большой риск для бизнеса.
Да и надо понимать простую вещь. Если вы такая себе супер-пупер крутая контора - можете и заплатить за расширенную поддержку. А если условно купили на 50 баксов в год, а хотите чтобы вам закрыли все риски - на это никто не пойдет
Ну еще есть способ, лицензионное соглашение может обрасти триллионом отписок, и фиг вы докажете, что пользовались согласно этому соглашению :)
Либо стоимость в разы, либо работать не будет.
Не надо эту пугательную мантру. Стоимость будет определяться рынком. Почти во всех отраслях есть регулирование и всё работает. И только в IT продолжается детский сад.
В ИТ тоже давно уже есть регуляции. Куча фирм сертифицируются и проходят аудиты.
И вам никто не запрещает брать софт от таких компаний. Оно конечно в среднем слегка дороже. Ну так рынок определяет.
А во вторых даже это не спасает от багов и прочего на 100%.
Речь, ещё раз, не о гарантии отсутствия "багов и прочего", а об ответственности за них.
Если я серьёзно отправлюсь в ресторане, то стрясу с них сумму на несколько порядков больше, чем заплатил за обед у них. Ресторан с удовольствием предоставлял бы обед "as-is", но законом такое запрещено. А вот в софтостроении "as-is" разрешён безо всяких ограничений, и в итоге, софт без отказа от ответственности (на сумму выше заплаченной за него) найти нереально.
Максимум что есть - вот эти сертификации. "Аудиторы подтвердили, что у нас багов нет; но если ненайденный ими баг разорит вашу компанию - то сосите лапу, а мы будем ни при чём, и аудиторы тоже ни при чём." Зашибись просто.
Речь, ещё раз, не о гарантии отсутствия "багов и прочего", а об ответственности за них.
Если вы хотите ответственности, то за это надо платить. Ну то есть банально у нас разные клиенты хотят разные уровни гарантий и соответственно платят за это разные деньги.
Если я серьёзно отправлюсь в ресторане, то стрясу с них сумму на несколько порядков больше, чем заплатил за обед у них.
Далеко не везде и далеко не всегда.
софт без отказа от ответственности (на сумму выше заплаченной за него) найти нереально.
Опять же смотря где. Насколько я знаю в той же медицине с этим всё тоже строго. Подозреваю что и в целом ряде других отраслей тоже. В авиации там. В атомной энергетике. Но и стоит там софт совсем по другому.
"Аудиторы подтвердили, что у нас багов нет; но если ненайденный ими баг разорит вашу компанию - то сосите лапу, а мы будем ни при чём, и аудиторы тоже ни при чём." Зашибись просто.
При этом вы наверняка при желании сможете застраховать вашу фирму от такого форс-мажора. То есть опять же это "только" вопрос денег. И даже если вы пропишите ответственность в пользовательсое соглашение, то это значит изготовитель софта купит страховку и переложит расходы на вас.
При этом есть ситуации когда люди могут умереть или как минимум сильно пострадать. И где из-за этого строгая регуляция вполне себе имеет смысл.
Если вы хотите ответственности, то за это надо платить. Ну то есть банально у нас разные клиенты хотят разные уровни гарантий и соответственно платят за это разные деньги.
Это несомненно, но:
Если едок хочет обед as-is за полцены в ресторане без проверок и без гарантий, то такой возможности нет. Законодатели решили, что здоровье жадных едоков важнее, чем полцены обеда.
Если пассажир хочет полёт as-is за полцены на самолёте без проверок и без гарантий, то такой возможности нет. Законодатели решили, что жизнь жадных пассажиров важнее, чем полцены билета.
Если сисадмин больницы ставит софт as-is за полцены без проверок и без гарантий, то его на то право, что хочет, то и ставит.
Ничего не находите странным?
Если едок хочет обед as-is за полцены в ресторане без проверок и без гарантий, то такой возможности нет.
А если кто-то хочет купить еду для животных или даже для компоста, то её можно купить без проверок или с меньшим количеством проверок.И об этом и речь: далеко не от каждого софта зависят человеческие жизни.
Более того несмотря на проверки в ресторанах люди продолжают отравляться. То есть по идее и еду надо бы проверять получше. Но только тогда она станет дороже и куча людей не смогут её себе позволить.
ОК, пример
Сначала ИТ сектор. Наш кейс, сломались сервера, два дня простоя компании, куча упущенных сделок - выставляем счет на "миллион"
Теперь банковский сектор. Сломался клиент банк, вы не проплатили что было надо, упустили кучу сделок - выставляем счет на "миллион"
Теперь мобильная связь. Легла связь. до вас не дозвонились, вы упустили кучу сделок - выставляем счет на "миллион"
Вопрос - какое регулирование в банковском секторе или в телекоме, которое поможет вам выиграть суд и компенсировать ущерб?
--------------
Понятно, в случае потери здоровья или жизни по прямой вине оборудования - тут можно выиграть и получить компенсацию (во втором случае уже для родственников). Но риски "бизнеса" обычно сторонними сервисами не покрываются от слова совсем.
И я думаю, вы долго будете искать реальные примеры такого "регулирования"
Вопрос - какое регулирование в банковском секторе или в телекоме, которое поможет вам выиграть суд и компенсировать ущерб?
Ответ легко гуглится: https://core.ac.uk/download/pdf/149257963.pdf
The liability of a bank for error or system malfunction is set out in section 1693 of EFTA.[41] Under this section, a bank is liable for all actual damages proximately caused by its failure to transfer the correct amount of funds, or failure to transfer funds in a timely manner.[42] The bank similarly would be liable for damages due to any technical malfunction, unless the user knew of the malfunction at the time he attempted to make the transfer.[43] The effect of section 1693 is to impose strict liability on the bank for direct damages caused as a result of error or malfunction in the bank's system.[44]
ОК, теперь открываем любой договор и там будет выполнение перевода в течении нескольких банковских дней :)
Все как и у всех ... "толпа" требует написать "жесткие" законы. Без проблем, юристы легко допишут требуемые уточнение в договор на обслуживание счета.
------
И что интересно, это явно написано в этом же документе
(1) the financial institution's failure to make an electronic fund transfer, in accordance with the terms and conditions of an account, in the correct amount or in a timely manner when properly instructed to do so by the consumer except where- (A) the consumer's account has insufficient funds (B) the funds are subject to legal process or other encumbrance restricting such transfer; (C) such transfer would exceed an established credit limit; (D) an electronic terminal has insufficient cash to complete the transaction; or (E) as otherwise provided in the regulations of the board;
Поэтому никакого чуда нет, все действительно написано и продумано.
-------
Вроде ж как история преподается, а все "безтолку". Бизнес - это про прибыль. Риски - это расходы. "Умный" законодатель увеличивает риски - бизнес либо закладывет их в цену, либо избегает, устанавливая "стандарты" обслуживания, которые подходят большиснтву участников.
Поэтому "революционеры" могут спать спокойно, либо возрастет цена, либо появится еще Х предложений в типовых договорах
Вопрос был: какое есть регулирование. Я показал какое.
Хотите конкретные примеры его использования, и не умеете гуглить сами? Пожалуйста: https://www.reuters.com/world/uk/bank-england-fines-former-tsb-executive-over-2018-it-failure-2023-04-13/
TSB was fined 48.65 million pounds in December by the PRA and Financial Conduct Authority over the botched IT platform migration that locked millions of its customers out of their accounts. <...> TSB, which updated its IT systems in April 2018 but took until December of that year to return to business-as-usual, has paid 32.7 million pounds to customers hit by the migration.
Поэтому "реакционеры" могут продолжать фантазировать о том, что регулирование бесполезно, но реальность давно другая.
Хотите конкретные примеры его использования, и не умеете гуглить сами? Пожалуйста: https://www.reuters.com/world/uk/bank-england-fines-former-tsb-executive-over-2018-it-failure-2023-04-13/
Тут же банк, который эпично облажался и получил штраф от регулятора. Но как вы хотите применить это к кейсу, который обсуждается.
Производитель антифируса не отвечает за работу операционки. В принципе. Это не его сервис.
Вы используете, вирусы пролезли - нет. Какие проблемы. Упала ж операционка.
Вы же применяете кейс, когда ПОСТАВЩИК не предоставил СВОЙ сервис. А у нас случай, когда ОДИН ПОСТАВЩИК поломал сервис ДРУГОГО. И вы хотите, чтобы он отвечал за убытки, которые возникли в результате поломки именно винды :)
И до какого уровня транзитивности предлагаете устанавливать ответственность? Или как-то делить в данном случае между Microsoft и CrowdStrike?
Не ожидал, что такую простую цитату понадобится переводить на русский. Банк заплатил £48М штраф регулятору, и кроме этого, £32М клиентам, потерпевшим убытки из-за технического сбоя.
Речь ведь шла о возмещении бизнесу причиненного своим косяком финансового ущерба? Или вы снова пытаетесь поменять тему, теперь зачем-то приплетая Windows и транзитивность?
Еще раз
Банк предоставляет клиентам свой сервис и по причине нарушения условий договора выплатил штраф
CrowdStrike не ломал свой сервис, а его обновление сломало чужой сервис, в данном случае компании Microsoft
--------------
Кого будем геноцидить за причененный ущерб? :)
Мне правда интересно
Представляю разборку в суде:
Истец (истерично): мне поломали операционную систему на охулиарде компьютеров и я потерпел убытки на 3 охулиарда тугриков
Отвечик (в полном недоумении): так я вообще не причем, я только антивирус :) Сломалася же операционка, чего вы меня сюда притащили? Вирусов же нет, антивирус стоит как "стена". Спрашивайте кто операционку сделал :)
голос из зала: Мы конечно микрософт и все такое, но истец сам антивирус поставил, там где его не было или ... тут еще 100500 причин ... куча компов не сломалась. Почему мы должны отвечать за то, что истец какое-то овно себе на компы поставил? Пусть в зеркале виновника ищет
--------------
Я вам проще объясню. С другой стороны. Куча компаний пишет и продает софт. На заказ, типовой и т.д. Со многими заключается SLA, даже со штрафами. Сам вычитывал, требовал или отбивался :)
Суть в том, что наерное только в 0.00001% случаем покупатель может вписать ответственность разработчика за НЕПРЯМЫЕ убытки бизнеса. За неработоспособность софта - сколько угодна, но обычно в размере стоимости поддержки, так как это и есть прямые убытки
Если в практику войдет компенсация бизнес результатов - ну, можете не сомневаться, на такое не пойдет ни банки, не телефом, так как они обычно покрывают прямые убытки + могут накинуть что-то с "браского плеча".
Сломалася же операционка, чего вы меня сюда притащили? Вирусов же нет, антивирус стоит как "стена".
Желаю чтобы вам с таким подходом продали цианистый калий под видом средства от головной боли, а на претензии безутешных родственников отвечали: "Голова же у него больше не болит, чего вы меня сюда притащили?"
Желаю чтобы вам с таким подходом продали цианистый калий под видом средства от головной боли, а на претензии безутешных родственников отвечали: "Голова же у него больше не болит, чего вы меня сюда притащили?"
Слава богу, лекарства сильного действия без рецепта в большинстве стран не продадут :) И опять же, обратите внимание, в примере с лекарствами есть четкое разграничение:
фарма проходит клинические испытания в большом количестве
потом пишет большую-большую инструкцию
а лекарства назначает врач
Итого виноватиком почти всегда будет либо врач, которые не "учел", либо пациент, которые не читал. Также если вы скачаете инструкцию к любому лекарству, то увидите, что там 100500 ограничений, и по сути беременных, младенцев вообще лечить невозможно, либо принять, что любая побочка - ваша личная проблема
Вот к чему приводит "юридическая" забота о потребителе, которую элементарно бизнес обходит :)
Но конечно, вы и примеры, когда фарму накажут найдете :)
-------------
Но надеюсь разницу между банком. который нарушил условия СВОЕГО договора с клиентами и антивирусом. который 99.99% своих пострадавших даже в глаза не видел вы осознали?
Во-первых, Falcon Enterprise это $200/год/устройство, т.е компания вроде нашей башляет за него порядка на три больше, чем указанная вами сумма. (А для супер-пупер крутых контор у них есть тарифы ещё дороже.)
Во-вторых, претензии ко CrowdStrike как раз по поводу того, что независимо от крутизны лицензии, причиненные убытки они не покрывают ни в каком случае. И даже починить устройства самостоятельно ("запили как выпилил!") не могут; их максимум - выпустить инструкцию для сисадминов о том, как исправлять за CrowdStrike их косяк.
Как будто в физическом мире, где всё покрыто лицензированием с ног до головы не происходит подобных факапов. Ну посадили бы после подобного инцидента всех программистов клаудстрайка и что, дальше стали бы писать безбажный софт? Нет такого, значит постепенно всех бы пересажали или желающих бы не осталось. И тогда вместо лицензий с отказом от ответственности получили бы отказ от разработки и сидели бы вообще без софта.
Не умаляя ответственности разработчиков, но может быть начать с регуляции пользователей? Почему в таких отраслях как медицина и авиация вообще допустимо выкатить обновления автоматически?
Если посадят менеджеров CrowdStrike, или хотя бы обанкротят эту контору, то да, желающих делать хренак-хренак-и-в-продакшн станет меньше.
А дальше что будет? Остаются те, кто осуществляет параноидальное тестирование. Во-первых себестоимость такого продукта возрастает. Во-вторых производителей становится меньше (если вообще отдельные ниши не монополизируются), цены еще больше завышаются. Потребители данных продуктов либо следом завышают цены на свои услуги, либо берут риски от возможного сбоя на себя (типа нам повезет, нас пронесет, мы справимся).
На уровне клиента, предположим, вас направили на МРТ-исследование. Несрочная болячка, чуть коленка поднывает. На выбор два центра исследования, цены отличаются процентов на 30. Тот что дороже заявляет, что пользуется супер надежным ПО и сбоев у него нет. В дешевом сбои бывают. Они выражаются в том, что примерно раз в год-другой один из дней центр простаивает, клиентов с записями на этот день отменяют и переносят. Примерно с такой же вероятностью в районе могут отключить электричество и воду, что повлияет на оба центра - срочные предоперационные ислледования центр выполнит на резервном питании, а плановых обычных клиентов подвинет. Так за что переплачивать? Куда вы пойдете?
Выбора быть не должно -- так же, как сейчас нет выбора между "медицинским центром" с шаманскими заговорами, и медицинским центром с одобренными государством методами лечения. Даже хотя первый мог бы за свои "медицинские услуги" брать дешевле.
Вы наивно полагаете что "выбора быть не должно" означало бы на практике, что все бы оказывали качественные услуги и недорогие, пользуясь исключительного великолепным ПО. Но в реальности выбора бы не было потому что все эти задачи, которые сейчас решаются софтом с надёжностью 99.99% (сколько десятилетий аптайм мирового АйТи до вот этого клаудстрайка, который задел дай бог десятую долю процента на пару дней?), перестали бы решаться вообще.
Выбор не между "многообразием слегка глючного по" и "многообразием идеального по после введения регулирования", а между многообразием глючного и отсутствием идеального.
Зарегулировав всё можно получить просто стагнацию, фиксацию кривых решений (как мы это и видим в регулируемых отраслях). "не трогай 40 летний С код, он работает с этими 8" флоппи дисками и всё это сертифицировано". И никакие новые решения не смогут в такую среду пробиться. В то же время, что чаще лежит -- условные банки, покрытые регуляциями или гугл, который as is?
Вы сейчас натягиваете сову на глобус. В случае медцентра с шаманскими заговорами будет угроза вашему здоровью или даже жизни (вы получите фигню вместо нормальной медпомощи). В случае "дешёвого медцентра" из комментария выше ничего ужасного не произойдет, вас просто в случае редкого сбоя перезапишут на пару дней вперёд, а при неотложной ситуации отвезут в соседнюю больницу.
После "дизельгейта" автостроителей не убавилось, а вот охотников мухлевать с сертификацией выхлопа желающих не осталось. Идеальный кейс из физического мира.
Ну то есть вы хотите, чтобы производителей софта осталось два десятка и появление нового игрока на рынке было сродни чуду, случающемуся раз в столетие. Отличная перспектива.
Всегда интересно, а вот радеющие за посадки и обязательные требования для других, сами-то какой софт выпускают? Небось с полной ответственностью? Почему бы не побыть пионерами? Обязательно нужен большой брат, чтобы заставил? Выкладывайте свой софт по лицензии "зуб даю, в тюрьму пойду если баги найдутся" и когда практика переменится и это станет обязательным -- будете на коне.
Пока возможно продавать непроверенное за полцены, проверенное за полную цену остаётся неконкурентоспособно.
Рестораны с просрочкой закрылись решением "большого брата", а не потому, что все едоки сознательно перешли в более дорогие рестораны с обязательными требованиями и ответственностью.
Авиакомпании со списанными самолётами закрылись решением "большого брата", а не потому, что все пассажиры сознательно перешли к более дорогим авиакомпаниям с обязательными требованиями и ответственностью.
Интересно, вы так же ратуете за право тех, кто хочет сэкономить, обедать просрочкой и летать на разваливающемся хламе?
Интересно, вы так же ратуете за право тех, кто хочет сэкономить, обедать просрочкой и летать на разваливающемся хламе?
Вы не совсем понимаете. Речь скорее о том что для велосипедов не нужен такой же уровень регулирования как и для самолётов. А для корма для скота такой же как для еды в ресторанах.
Конечно мне тоже хочется иметь софт абсолютно лишённый любых багов. Но стэ другой стороны мне не нужен софт, который будет стоить в разы, а то и на порядки дороже.
Нужен какой-то компромисс между ценой и качеством. И он для каждого выглядит по разному.
Я просто не очень верю в магическую способность регуляций решать сложные проблемы. Какие ещё авиакомпании со списанными самолётами закрылись, о чем речь вообще? Отрасль с рождения была под микроскопом общества. А на частном самолёте летай хоть на ведре с болтами.
Как производитель ПО может нести ответственность за систему, над которой он не имеет полного контроля? Почему владелец/пользователь системы, имеющий такой контроль не должен нести ответственность в первую очередь? Хочешь надёжного софта -- устраивай ему приёмку и валидацию на своём железе и в своей конфигурации, как вендор может за это отвечать? Только если будет поставлять всю систему целиком. Но системы safety critical так и поставляются, а mission critical -- это забота самого бизнеса, какие хочет, такие и несёт риски.
Какие ещё авиакомпании со списанными самолётами закрылись, о чем речь вообще?
Гугл забанили? https://www.airliners.net/forum/viewtopic.php?t=1486549
А на частном самолёте летай хоть на ведре с болтами.
На ведре с болтами, не прошедшем ТО, я даже на шоссе не вправе выехать, не то что на аэродром. Обязательное ТО любых моторных средств -- это ещё один пример госрегуляции в ущерб любителям сэкономить. По-вашему, лучше без него? Кому нужно, тот пусть платит, а кому не нужно, тот пусть ездит на дырявом ведре?
Обязательное ТО любых моторных средств -- это ещё один пример госрегуляции в ущерб любителям сэкономить
На аренду выходят kit cars.
А по ссылке ничего не про списанные самолёты, скорее про то, что компании уходят из бизнеса после инцидентов (которые все равно случаются несмотря на чудовищное регулирование и ответственность и т.д.) из-за того что поведение потребителей меняется, а не государства. И приведены примеры как государство наоборот спасает авиакомпании в таких ситуациях.
Рестораны с просрочкой закрылись решением "большого брата", а не потому, что все едоки сознательно перешли в более дорогие рестораны с обязательными требованиями и ответственностью.
Авиакомпании со списанными самолётами закрылись решением "большого брата", а не потому, что все пассажиры сознательно перешли к более дорогим авиакомпаниям с обязательными требованиями и ответственностью.
От ресторанов и самолётов зависит ваша жизнь и здоровье. В случае же с ПО, доля софта, от которого будет зависеть ваша жизнь и здоровье, относительно небольшая, и за него как правило уже кто-то отвечает (вендор, поставщик услуги, орган сертификации).
Ну вот даже этот супер масштабный сбой не устроил ни техногенную катастрофу ни какое другое бедствие со смертями и увечьями. Он не обвалил финансовую систему.
Люди просто потеряли деньги и время, возможно, у кого-то возникли проблемы из за отмены рейсов или переноса плановых операций.
Наверное, потому что реально критические сферы таки зарегулированы по самое не могу, а сбой затронул массовый сегмент, что не приятно, но не более того.
Тогда проблема как быть c:
opensource-лицензиями где разработчик напрямую денег за код не получает и не всегда - получает косвенно? Вот выложен мой код на гитхаб, могу даже доработки заплатно сделать. А то что оказалось что его 100500 проектов используют - ну так и что.
если бесплатного(пусть даже не opensource) софта не касается - ну так - рекламная модель монетизации есть. Да и например можно официально услуги техподдержки продавать или подписку на обновления.
если не касается только opensource - а что есть opensource в данном случае?
ядро linux opensource? а если на конкретном устройстве часть модулей закрытая а его поставщики - плевать хотели на GPL (ситуация с большинством китайских андроид-смартфонов)
ситуациями когда ломается окружение
ну вот был антивирус, поддерживал такую то версию Windows, MS выпустила новую версию Windows где немного поменялсь логика и антивирус там нормально не работает (у Kaspersky с MS кстати были суды на эту тему насколько помню).
Допустим никто не в курсе про дефект - после обновления нерабочая система. В суд на авторов антивируса что сломали? Так они поддержку новой версии не обещали. На MS? Так они скажут что выпустили insider-версию (а то что времени мало было - ну так и что)
Допустим MS в курсе и добавили автоотключение антивируса но он не выполняет свои задачи - в суд на авторов антивируса что он не работает? Так его отключил установщик обновления
В суд на авторов антивируса и MS а там в ответ что "а не обновляйтесь" - так обновление в Windows Home отключить...затруднительно (и есть вообщем то вполне логичные причины почему так - пользователь Home - не админ а зоопарк вирусов - проходили уже)
ну вот был VMware Fusion/Parallels Workstation, купленный, apple выпустила новую версию macOS - Fusion и Parallels (как обычно) на ней не работают, разработчики требуют денег за обновление. Вариант НЕ обновлять macOS - пользователям...непривычен и может начать много чего другого отваливатся постепенно.
было приложение для Android, гугл в очередном обновлении например начал гайки закручивать к доступом к файлам (и надо делать доступ по другому и при этом "правильный" способ - тормозный или вообще не работает) или там к звонкам, устройства автоматически обновилось, приложение не работает нормально. Разработчик не обновил (может не хочет или нет его уже а может - вообще невозможно под ов). Кто виноват и а кого в суд? А если просто гугл начал требовать использовать новый API level?
было приложение для Android, пользователь решил что его надо запускать и на устройствах с DeX подключенных к док-станции(или тв+клавиатура)(экран большое но средства ввода- мыш и клавиатура а не сенсор, при этом средство доступа к сети вполне может быть Ethernet а WiFi/сотовые модули - отключены) или на часах с Android Wear или вообще на Android auto head unit, и работает не совсем корректно. Опять в суд на разработчика? Или разработчику конкретный список на чем работает и шаг влево шаг в право - мы это не поддерживаем...а на практике суды на каждый чих
Я вот одного не понял, а почему "недели"?
Сейчас то понятно, что, почем и как поправить
Надо физически дойти до каждого компьютера. Инструкции по восстановлению непригодны для обычного пользователя. Особенно с учетом Битлокера везде.
Ну пользователи пользователю рознь, инструкция вида: При загрузке нажмите F8, выберите в списке Safe Mode, нажмите Enter, дождитесь загрузки системы, войдите в папку и удалите файл, думаю многие легко выполнят.
Я не зря про Битлокер написал.
Это корпоративный B2B антивирус (на самом деле EDR, но это не важно в текущем контексте).
На корпоративных компьютерах в 99% случаев включено шифрование диска Windows, а.к.а. Bitlocker. Когда он включен, нельзя просто взять и загрузится в безопасный режим, нужен ключ. Этот ключ хранится чаще всего в Azure AD сейчас, то есть надо конкретно растрясти внутренний саппорт на ключ на твою машину. Который они скорее всего не имеют право выдать напрямую.
К счастью система Bitlocker'а дырявая и в безопасный режим войти таки можно без ключа введя код конами сделав определённую последовательность действий. Но не думаю что это массовое знание, да и для этого всё равно админские права на машине нужны, что не всегда бывает.
К счастью система Bitlocker'а дырявая
Учитывая, что в задачи битлокера не входит защита от входа в безопасный режим, набрасывать про его "дырявость" некорректно.
Ключ восстановления он запрашивает, если предохранителем является TPM (как в корпоративной среде чаще всего и бывает). Если TPM не используется, будет запрошен обычный пароль или что там в качестве предохранителя настроено.
Нам разослали что-то вроде:
Safe mode
Чего-то там удалить
Жить и радоваться
У меня ноут проигнорировал проблему, поэтому я и не вычитывал внимательно
Но ничего сложного тут нет, если честно
Я правильно прочитал?
Они выкатили обновление сразу в прод у всех клиентов мимо всех этапов тестирования и теперь делают покерфес, потому что по лицензии ответственности за подобные результаты не несут.
Они же не тупые? Сначала затестили на Linux. И когда в апреле они обвалили линукс сервера. В ответ на жалобы послали пользователей. https://habr.com/ru/news/830132/
И вот сейчас решили сделать тоже самое на винде. Это уже не тупость. Это злонамеренность.
Они могут себе позволить.
Они выкатили обновление сразу в прод у всех клиентов мимо всех этапов тестирования
Ощущение, что у них в прод случайно попал какой-то тестовый билд.
Они обещают подробно рассказать, что произошло, и уже вышла первая часть post mortem, но самое интересное будет в следующих.
Мне одному кажется странным, что сбой произошел после ухода Касперского с американского рынка? Не пора ли одевать шапочку из фольги?
Там уже год (если не больше) факап за факапом именно в крупных компаниях. Через новость очередное сообщение про атаку на цепочку поставок - какая-нибудь промежуточная фирма накосячила, а последствия по всему завязанному на неё крупняку начинают бить. Т.е. CrowdStrike - это уже рядовое событие в длинной череде таких же. Только там в основном доступы и данные воровали, а тут до синего экрана дошло. Но первопричины одни и те же: код толком не тестируется в куче компаний, код кривой, дырявый и глючный поголовно у всех. Да и смысл стараться - куда ты денешься-то? Альтернатив нет, лицензию подписывай и вперед!
Альтернатив нет, лицензию подписывай и вперед!
А с монополизацией надо тоже бороться
Да там и без монополизации так же. Даже если на выбор куча софта - он ничем не отличается по качеству/гарантиям. Если поставить условный антивирус с сертификатом ФСТЭК он не будет работать лучше такой же версии без сертификата. Потому что сертифицируют-то сейчас вообще не качество кода.
Как минимум, запрет отказа от ответственности в пользовательских соглашениях поможет остановить творящуюся сейчас вакханиалию.
Одного этого недостаточно, имхо. Надо сам подход к разработке менять. И толерантность к багам. Я реально уже боюсь перезапускать софт, потому что он в этот момент принудительно обновится и неизвестно что будет дальше: то ли оно будет работать, то ли перестанет и я уже не смогу свои задачи сделать, т.е. потеряю деньги.
Причем от выбора поставщика софта же ничего не зависит - вам с таким же успехом может систему снести обновление калькулятора, например. Или, вон, на линухах апдейт к софтине случайно rm -rf вызывал...
Это яркий пример того что текущая модель обновлять всё и вся постоянно провальна. Элементарное правило четные мак адреса обновляются по четным дням. Уже минимизировала урон на 50% иатематически. а по факту на все 80%…
Тут два дурака
Один систему сделал, другой раскатал её везде не задумываясь. Вся задача инженеров иб свелась к перекладыванию ответственности на стороннюю контору. Не так давно видел в конторе порты RDP проброшенные на внешку. На вопрос о безопасности такого решения админу. Наши безопасники сказали можно, там касперский всё защищает….
В устройствах, которые просто показывают информацию, и в клиентских терминалах должна быть функция удаленного сброса настроек или перезаливки. Нельзя для таких целей использовать конфигурацию ПК.
Если уж ради дешевизны решили ставить везде простые офисные десктопы, то сделали бы хотя бы такую фичу, чтобы после пары неудачных загрузок, устройство автоматически переключалось на загрузку по DHCP+PXE.
Другие новости
Восстановление работоспособности IT-систем клиентов из-за сбоя ПО CrowdStrike в Windows может занять недели