Open-source je poprvé kvalitnější než proprietární software

O tom, co je top by se daly vést spory. Domnívám se, že za nejlepší se obvykle považuje buď klocwork (vzhledem k ceně se ale asi moc nerozšíří) nebo PVS-Studio. Coverity je spíš mírně podezřelé. Hlavně tím, že nedávají trial verze, ale oni sami jezdí svůj soft předvádět. Nevím, ale mně to připadá, jako by se snažili marketingem zakrýt problémy softu - prostě jako by bylo lepší vysvětlit managerům, jak je to skvělé, než nechat programátory porovnávat.
Mimochodem, nejspíš právě z těchto roadshow bude pocházet ta jejich anonymní enterprise statistika. A bude se dost možná týkat projektů ve stadiu vývoje, což by pak nebylo moc fér srovnání. Ale třeba jim křivdím.
JInak ono asi bude těžké říct, co je opravdu nejlepší - viva64 dělala porovnání - prohnali zdrojáky quake 3 svým PVS-studiem a cppcheckem, který je zadáčo. Výsledek - cppcheck našl 6 závažných chyb, PVS-Studio jich našlo 7. Vtip je ale v tom, že jen 2 byly společné.

To jistě ne, ale dá se předpokládat, že bude bezpečnější.

Já nepoužívám soft kvůli bezpečnosti ale kvůli tomu, co s ním potřebuji dělat. Naprosto bezpečné (např.) OO.org je mi na prd, jestliže s ním neudělám totéž, co s nebezpečným MSO. Vy jste všichni posedlí bezpečností, kryptováním, šifrováním, utajováním. Jak malé děti.

Dikybohu ze takto primitivne nepremysli treba banky Aneb promluvil expert.

A on je snad banka? Má naprostou pravdu, záleží na použitelnosti. Třeba já si Windows 8.1 vydržuju jen proto, že chci MS Office, na normální používání je mi stejně k ničemu, neb mi po aktualizaci z Win8 přestal fungovat zvuk. Na všechno ostatní používám Linux, ale to je tím, že většina věcí, které potřebuju, mají slušnou Linuxovou verzi, která většinou vypadá téměř stejně jako ta pro Windows.

To si řekneme, až budete mít v počítači desítky virů odesílající vaše hesla a soukromé informace (doufám, že s tímto apokalyptickým přístupem nevedete internetové bankovnictví).

Až tě nějací kyberzločinci o tu tvoji úžasnou práci v MSO připraví, tak tě to možná začne zajímat. Ale to je tvoje věci, každý má prostě jiné priority.

Přesně tak. Třeba Mark J. Cox, který pracuje v Red Hatu to určitě vůbec nemá jako část pracovní náplně :)

Tak zrovna mjc to opravdu pokud vím nemá jako náplň práce .

Clanok je o nicom. Hlavny problem clanku je predovsetkym nepochopenie podstaty problemu, je snaha davat do suvislosti chybovost alebo kvalitu s tym, ci je soft opensource alebo closed source. Na tento parameter ma hlavny vplyv pocet vyvojarov a uzivatelska zakladna, teda komunita ludi zaoberajuca sa produktom. Ci su zdrojaky k dispozicii je nepodstatne. Najvacsie mnozstvo chyb sa odhali pouzivanim a nahodou, nie systematickou analyzou zdrojoveho kodu. Kto nieco naprogramoval o tom vie svoje.

Tak nějakou metodiku stanovit musíš.

V tomhle programu je ta úplně největší chyba. K ničemu není

za co ty mínusy? není to stejná věc; svobodný software (free software) je podmnožinou open source.

Za útočný tón?

a tak to ma byt!

když někdo píše článek k nějakému tématu, měl by o tom první něco vědět?

Svobodny SW neni podmnozinou opensource, nicmene maji neprazdny prunik.

no, podmínkou pro svobodný software je dostupnost zdrojových kódů, takže bych si dovolil tvrdit, že všechen svobodný software je taky open source.

svobodny sw je vzdy opensource ale opensource nemusi byt svobodny sw.

no však to říkám, podmnožina...

Jde o to, ze termin "open source" se nepouziva jako zkratka za "source code avalible", ale ma vlastni definici (http://opensource.org/osd),... ktera vznikla v 90. letech (okopirovanim z DFSG), kdyz chteli jisti lide zpropagovat svobodny SW ve firmach a nelibilo se jim slovo "free".

chytrej parser podelal odkaz http://opensource.org/osd...

Typuji ze z tech komercnich meli nejake $$$ zatim co ty OSS delali jen kdyz jim zbyl cas

I Open Source projekty si nechávají dělat audity za peníze. A nebo si ho za peníze nechá udělat někdo třetí, kdo jej chce používat.

Coverity dela tyhle scany pro komunitu, on je to asi dobry test jejich softu. Takze je tam omezeny set projektu, ale trebas delame interne kompletni Coverity scan cele Fedory... A je to celkem hodne uspesny projekt, minimalne v core systemu to hodne pomohlo a spousta bugu se opravila.

Nebudem ti vyvracať tvoje tvrdenie, ale chcem iba povedať, že počet riadkov nič neznamená. Počet riadkov kódu nemusí znamenať, že ide o vačší projekt.

Nemusí, ale většinou to korelovat bude. Dostatečně na to, aby to bylo statisticky významné.

Neviem či to máš niečim podložené.Momentálne dáta o veľkosti projektov nemáš, takže nevieš urobiť koreláciu.Čo ak rozdiel v počte riadkov súvisí s rozdielnym systémom práce medzi open-source a proprietárnymi riešeniami? Čo ak by si jeden projekt dal robiť open-source komunite a zároveň firme. Čo ak by si z opensource dostal 100 riadkov, a z firmy 300 riadkov? tj. ja z uvedených dát vidím iba koreláciu, medzi počtom riadkov na projekt a medzi tým, či je projekt open-source, alebo nie.Ja neviem ako to je. Ja iba poukazujem na nedostatok informácií, aby sa dalo dôjsť k takému záveru, ktorý si napísal.

Nemám to podložené, to je pravda. Jen mi přijde logické - a zkušenost tomu odpovídá-, že počet řádek koreluje s velikostí projektu (velikostí ve smyslu složitosti/komplexity modelovaných jevů).
A rozhodně mi to přijde logičtější, než že počet řádek odpovídá rozdílnému stylu vývoje mezi closed a open source. Bavíme se o projektech, které dělají audit, ne o amatérském smolení na koleně. Úroveň a styl psaní kódu v takových projektech bude dost podobná - už proto, že vývojáři open source a vývojáři closed source nejsou dvě striktně oddělené skupiny, ale navzájem se různě mísí nebo "mění strany".

Ja nevim, mne prijde kod vyrobeny pomoci nejakeho RAD nastroje nasobne vetsi a pritom bude delat ve finale to same. Podobne na tom jsou GUI vs CLI aplikace.
A taky je jestli te bavi si to vypiplat nebo jestli to jen chces mit zmaknute za smenu.

Ty RAD nástroje ale toho kódu pro GUI moc generovat nemusí (některé to UI generují kódem, některé to dají do resource souboru). Navíc ty počitadla řádků mohou část věcí ignorovat, např. komentáře, prázdné řádky, generovaný kód.

Nemyslím si. V mojí současné práci máme některé části kódu, na kterých je to celkem vidět.Prvním důvodem je už to členění na projekty. Jeden projekt neznamená jeden produkt. Pokud jsme firma dělající řekněme 3 produkty, nejsme nijak zásadně hnaní do dělení projektů na podprojekty. Pokud jsou podobné, budeme mít tendenci nasrat si všechno pěkně pohromadě, proč to uměle oddělovat, když to používáme vždycky dohromady.Navíc v closed-source mnohem ve větší míře převažují vlastní řešení. Tedy napíšete si na míru HTTP modul, audio modul, widgety, tohleto a támhleto. To vůbec nevypovídá o tom, že to máte kvalitnější, pravděpodobně spíš nemáte. Protože code review dělají spíš větší firmy, kde už se bez toho neobejdou.U nás třeba znovu vynalézáním kola napíšeme hodně kódu navíc. Ale není nijak zvlášť objevný, dokonalý, super rychlý. Ale do closed-source aplikace potřebujeme vlastnosti, tak prostě části vlastností píšeme. A rozhodně ne proto, že jako profíci to máme kvalitnější než open source Sem tam copy & paste, podobné věci psané zas a znovu ručně - už víme jak. Za uklízení a zkrášlování kódu nás nikdo neplatí, tráví se na tom jen nezbytná doba. Podobným příkladem budiš třeba mobilní OS Bada. Prostě ne vždy je víc kódu víc užitku, a podle mě closed-source tímhle trpí mnohem, mnohem víc.

Takze kdyz troubelin napise kod na 200 radku a nekdo to same napise na 10 je troubelin lepsi, protoze ma VETSI projekt ?

closed source kód je většinou plný enterprise-style šmejďáren, to tu velikost táhne nahoru... a taky je tu to, že "menší" closed source projekty jsou většinou naprosto nevýznamné, zato v open source je spousta široce používaných "menších" projektů, což táhne dolů průměr - ale velkých projektů taky není málo.

Co jsou to "enterprise-style šmejďárny"?Tou významností projektu máte na mysli, že když je nějaký projekt využíván řadou dalších projektů, je větší šance, že v něm bude méně chyb (protože jde o kritickou komponentu)? Nebo tam naopak může být víc chyb, protože se do toho vrtá víc lidí s různými cíli (každý si to pro svůj projekt chce/potřebuje přiohnout trochu jinak a všichni posílají příspěvky do stejného původního zdroje)?

"enterprise-style šmejďárnami" myslím overengineering. Closed source kód je k tomuto dost náchylný, a když na tom pracuje jeden tým v nějaké firmě, tak to nemá kdo zarazit. V open source toto buď zarazí komunita, nebo to pak nikdo nepoužívá.Co se týče druhého bodu, tak já myslel hlavně z hlediska velikosti... je spousta otevřených "malých" až středně velkých projektů (dejme tomu do sto tisíc řádek), které se používají v hrozně moc ostatních projektech (zmínit můžu třeba různý loadery formátů, parsery, kompresní knihovny, apod.) - o closed source se toto říct nedá, pokud je něco populární, je to většinou hodně velký projekt.

V closed source je zase overengineering limitován rozpočtem.Pořád nechápu, jaký má opakované využití menších projektů vliv na hustotu chyb (protože to je to, o čem je řeč - jak interpretovat tu statistiku). Opakovanost využití hustotu chyb podle Vás snižuje, zvyšuje nebo na ni nemá vliv?

já myslím, že určitě snižuje - protože čím víc uživatelů, tím víc testování - ale o tom jsem nemluvil, já se spíš snažil vysvětlit ten nižší průměrný počet řádků, ne hustotu chyb :)

Opakovanost využití podporuje to, že se používají ozkoušené komponenty, namísto komponent naprogramovaných closed-source vývojáři (s chybami, které už pravděpodobně někdo řešil a vyřešil v OS projektu)
Toto je můj názor.

Tomu by odpovídalo i dost malé procento oprav (počet opravených chyb je v té tabulce mnohem menší než počet nalezených chyb).

Kdyby se mely rozebirat kody Win 8, tak bude v kodu stejnej pocet funkci jako chyb.

Kdežto v linuxu by se nenašla chyba ani jedna - kdo by je tam taky hledal a proč...

OMG kdyz o necem vim houno tak radsi mlcim a nedelam ze sebe blba ze ... jako v kazdem kodu se v linuxu nachazeji chyby jenze jde o to KOLIK, KDE a JAK RYCHLE se opravuji ...

zdroj?

Windows 8.

aha. takze kecy 15rocneho chlapca.

Problem je v tom ze Win8 je BUG postaveny kolem BUGu ..

To je jen jeden příklad. Navíc OpenSSL je na tom rozhodně líp, objevena pouze tato kritická chyba, než komerční programy, kde se každou chvíli objevují kritické chyby, které můžou záškodníci využít.Jeden příklad za všechny, jako protiváha k tomuto, je Java, kde nedávno objevily kritickou chybu, ale Oracle ji na dlouhé měsíce nechal bez opravy.

Vy by jste si dal do vašeho projektu bezpečnostní komponentu, u které její bezpečnosti můžete jenom slepě věřit? Nebo použijete software, který se používá a testuje nejenom u vás. Který si můžete vesele auditovat? Kde se můžete spolehnout na auditování jinými?Fakt, že OpenSSL sama nemá peníze na audity prováděné interně neznamená, že si je nemůžete platit sám. Ostatně, jakou knihovnu doporučíte místo ní, aby byla platformně přenositelná, neděravá jak cedník a nebyla drazší, než moje celá aplikace?

Já se obávám, že v případě OpenSSL by zaplacený audit asi nepomohl ... když byla NSA o několik let napřed.A druhá věc je, že ať open source nebo ne, většina lidí musí "slepě" věřit že je všechno vpořádku a používat hotové komponenty protože jeiná možnost je sám si je naprogramovat a nebo dokonale rozumět kódu

NSA nebyla o zadny roky napred, prestante z nich delat polobohy. To je jako kdyby za mnou chodili lidi a rikali, jestli sem o chybe v openSSL vedel a ja bych jen rekl, ze jo. A oni by valili bulvy a mysleli si, jakej sem borec... a nebo ze sem to tam dokonce dal.Nicemu z NSA se neda verit

OMG, ten BULL SHIT co vypoustej ruzny mluvkove z NSA ohledne hearbleed je neskutecnej a jak jim to lamy zerou je primo uzasny. Kdyz si udelate malou analyzu, zjistite ze hearbleed se dostal do OpenSSL v 03/2012. Otazka je kdy se na nej skutecne prislo, takze mame teoreticky 2 roky kdy se dala chyba vyuzit. Jenze napriklad Debian 6 jede s OpenSSL ktera neni vulnerable. Kdyby se udelala analyza, tak se zjisti ze opravdu zranitelnejch serveru bylo imho hodne malo ..

Usmevne od cloveka ktery pouziva software od firmy ktera se snazi napsat operacni system a zatim se ji povedl po 30ti letech zavadec na hry ..

kdyby kontrolován nebyl, jsou ty čísla daleko jinde.

Ale keby kontorlovany bol, tie cisla su uplne inde :)
To je obecne argument vsetkych co tvrdia ze closed source je omnoho bezpecnejsi nez open source. Udajne kod pisu a kontroluju velke pocty velmi dobre zaplatenych programatorov. Robia sa audity, testy a pod. Potom by to cislo malo byt limitne bliziace sa nule. Ale nie je.
Opensource nie je vseliek. OSSL HB bug ukazal co dokaze NSA. Ak to dostali tam, tak to dostali aj do proprietarnych implementacii SSL. Dokonca ovela jednoduchsie - staci spolocnosti poslat postou bubaka z ministerstva obchodu, ze ak nebudu spolupracovat, odmietnu s nimi spolupracu gov a velke koncerny so zastupenim v USA. Na konci to okorenia klasickymi plkami o narodnej bezpecnosti a vec je vybavena.
Takze netreba zit s predstavou - pouzivam closed source, tak mam istotu ze moje data su v bezpeci :)

Takže si to shrňmě. JJ, stala se chyba v Open Source. To se stane. Ale tu tam dala NSA. Ale protože to je ta všemocná NSA. Tak automaticky tyto chyby deleguje do SW kam nemá přístup nějakým speciálním "magic" ví jak tu samou chybu implementovat v kódu kam přístup nemá, ale určitě to tak bude, protože já .... já jsem vtipálek co věří všemu co o NSA slyším plus si rád nějakou pohádku navíc. Takže pozor. Po closed source chodí zlí mužíčci s bundou a odznakem NSA a komitují tam chyby.Musím říct, že si nedělám iluze že by ani jeden druh SW nebyl nějak bezpečný z mnoha důvodů, ale proč si vymýšlet takový bláboly, to by mě tedy zajímalo.

Fakta jsou fakta. http://zpravy.ihned.cz/svet-usa/c1-62014790-amer... ... Když chybu NSA využívala(dva zdroje to potvrdily), tak ji tam i mohla dát.

a taky mohla vynaleznout auto a muze dovazet na planetu kyslik... A co teprv KGB, ty sou tak mazany, ze se o nich ani nepise (nebo nesmi psat, hm?... HM???)

Jedno je fakt a to druhé je co ?

V kontextu Snowdena celkem reálná spekulace.

Reálná spekulace? Reálných spekulací jsou plný mrakodrapy, nádrže všech letadel na světě a s tou cestou na Měsíc to taky nebude tak jasný ...