> Это очень важное и очень сильное допущение, что с каждым изменением ситуация будет улучшаться. [...] Зачем или почему вдруг апстрим станет менять приоритеты и подход, пропускать в ядро более объёмные и сложные изменения?

Но цель же не в том, чтобы дрессировать апстрим принимать объёмные изменения. Цель — получить хорошо защищённое ядро. И не настолько важно, как мы к нему придём. Конечно, было бы хорошо получить его сразу, за один шаг, но если апстрим не хочет больших шагов, можно же попытаться достичь той же цели маленькими шажками? Даже если это будут неполные, половинчатые патчи — это не так страшно, если в конце из всех этих половинок будет собрано то самое защищённое ядро, которое и было целью.

К тому же нужно ведь не только передать эти патчи в ядро, нужно чтобы другие разработчики тоже в них разобрались, и привыкли писать последующий код с учётом этих патчей. Грубо говоря, нужно обучить и других разработчиков. И делать это на маленьких патчах проще, чем на больших.

> Мне кажется, вы исходите из предпосылки об искренности всех участников. В том числе об искренних и неустранимых заблуждениях.

Я не исхожу из неё, лишь допускаю такой вариант тоже. Это логичное допущение. Ведь если участники не работают над устранением проблемы, то либо они не видят проблему, либо не считают её проблемой, что в общем-то то же самое. А если бы они работали над устранением проблемы и стремились улучшить ситуацию, то зачем grsec-овцам закрывать патчи?

> Кэйс Кук, глава KSPP, прекрасно осведомлён о происходящем, не поддерживает пиар со стороны LF ни по форме, ни по содержанию. Осознаёт [...] недостатки текущего подхода [...] (и он, как ему кажется, над этим работает).

Но раз Grsecurity закрыли патчи, то для них этого было недостаточно, они хотели большего. Упоминания своих заслуг в публикациях LF/KSPP, возможно?

> В частности, LF достаточно было бы попросить Кука честно и открыто описать ситуацию для сообщества, не сглаживая недостатки, а наоборот - подчёркивая их, как того требует подход к информационной безопасности

Вроде Кук как раз упоминал в своих коммитах grsec, и даже указывал отличие своих патчей от патчей grsec. То есть открыто описывать надо было не Куку, а тем, кто пишет обзоры его работ.

> Они не видят в этом проблемы _для_себя_, понимаете? Свои карьерные, маркетинговые и бизнес-задачи они решают именно благодаря, в контексте сложившейся ситуации, а нисколько не вопреки ей. Собственно, и ситуация сама себя не создавала - мне кажется, она в значительной мере является результатом вполне осмысленной деятельности LF в целом и отдельных её членов, таких как Red Hat. То есть, целеполагание имело место.
> Вся деятельность LF по освещению безопасности в линуксе - это marketing bullshit. Ниже вы сами высказываете мысль о положении Grsecurity как конкурента KSPP/LF/mainline, но вместе с тем выше почему-то делаете предположение о честном заблуждении последних. Это очень странно, ведь логичнее было бы предположить как раз обратное.

Это разные предположения: "marketing bullshit" — это по поводу того, что они говорят, а "заблуждения" — это по поводу того, что они делают. Или вы полагаете, что LF/RedHat намеренно умалчивали о Grsecurity с той целью, чтобы разозлить их и вынудить их уйти с арены? Тогда, выходит, LF победили?

> К сожалению, разработчики grsec решили не политизировать свой анонс изложением взгляда на ситуацию и не втягивать себя в очередной медийный скандал

Не просто не политизировать, они в passing_the_baton_faq включили пункт "Why are you REALLY doing this?", но ни слова в нём не написали про введение сообщества в заблуждение или недобросовестную конкуренцию.

> Главная помощь, которую могло и всё ещё может оказать сообщество - это поддержка в медийном пространстве и чёткое формулирование спроса на реальную безопасность в линуксе. [...] У сообщества есть шанс, он и не пропадал никуда. Мосты не сожжены: патчи как пропали из общего доступа, так могут и вернуться.

Возможно, мосты и не сожжены, но они уже горят. В официальном анонсе Grsecurity поставили всех перед фактом, не называя никаких путей для отступления, даже не упоминая, что такие пути есть. Многие знают про патчи pax/grsec, но мало кто знает, что может им помочь. И если в ближайшее время никаких публикаций с возможными путями не появится, то сообщество будет думать, что Grsecurity просто коммерциализируются. Именно так многие уже думают: на реддите, на HN, да и здесь — везде в обсуждении этой новости один из первых комментов — про совместимость такого решения с GPL. То есть многие думают, что grsec лишь хотят заработать, и не только не знают почему всё это это произошло, но что ещё более важно, не знают что делать, чтобы это изменить.

> У меня было намерение хоть как-то восполнить этот пробел: может быть, написать статью и протолкнуть её на какой-нибудь хабр. Но наблюдая за реакцией сообщества, я всё меньше вижу в этом смысл

Смысл всё ещё есть! Не факт, что такая публикация поможет, и заставит кого-то в сообществе что-то делать. Но если и этого не будет — то ситуация точно не улучшится.

> Несколько в стороне от темы... В даной ситуации я бы не стал делать акцент на проблемах Grsecurity - проект их уже решает и так или иначе решит для себя. В публичной плоскости, на мой взгляд, гораздо важнее, что во всей этой ситуации теряет сообщество.

Да, пострадает в первую очередь сообщество. Но пострадают и Grsecurity, которым это сообщество создавало рекламу. Ведь получается, что без сообщества, сами по себе, они довольно слабы в маркетинге.

> Конечно, можно! Но обратите внимание даже на ход ваших собственных мыслей: как вы размышляете о том, в какой бы такой форме, да по частям, да планомерно повышая качество, можно было бы портировать патчи в ядро, чтобы там со временем подход и приоритеты могли измениться. А никак. Должна быть встречная заинтересованность, чтобы дело хоть как-то, со скрипом сдвинулось в сторону реальных, а не маркетинговых и набумажных результатов. А её нет - вот, в чём дело.

Более защищённое ядро и может быть этим результатом — и маркетинговым и реальным. И в этом заинтересованность есть. Должна быть. Её не может не быть. Взгляды могут расходиться лишь в способах достижения этого результата.

>>> - Формировать критерии и адекватный спрос на безопасность со стороны пользователей линукса
>> Это было бы здорово... Но разве это возможно? Не обучишь же пользователей тонкостям низкоуровневого программирования.
> Конечно, возможно. Смотрите, есть Grsecurity, который позволяет защититься от эксплуатации некоторых серьёзных классов уязвимостей в принципе, а эксплуатацию других классов, отдельных уязвимостей и их цепочек - существенно усложнить. Есть реальные критерии оценки
> И есть концепции, лежащие в основе Grsecurity, да и информационной безопасности, как таковой. Например, истина о том, что защищающемуся необходимо закрыть все уязвимости, а нападающему - достаточно найти и эксплуатировать одну единственную. Понимание одной этой истины [...] способно поставить под сомнение любой пиар, понимаете?
> Что нужно, чтобы такое понимание сформировать - вопрос отдельный и сложный, у меня нет на него ответа.

Тогда нужны статьи, наверное. Они уже встречаются, но их мало. Есть неплохой обзор в статье про RAP где-то на сайте grsec. Да и та же презентация Кука, на которую вы скидывали ссылку, которая "killing bugs is nice, but killing bug classes is better", она ведь тоже об этом.

> Нужны [...] общественная институционализация взаимодействия между покупателями (пользователями) и продавцами (разработчиками) - что-то, аналогичное обществам защиты прав потребителей. Но пока что это всё только мои хотелки и догадки, с этим спорить не стану.

По идее, это как раз и есть организации вроде FSF и LF, а также своего рода СМИ вроде LWN и phoronix-а.

> Плюс ещё сильнее введённое в заблуждение сообщество.

На счёт сообщества, кстати, интересный вопрос. Пусть LF/KSPP не особо рекламировали то, что их работа основана на патчах grsec, но действительно ли сообщество об этом не знало? Может это было настолько очевидно, что в рекламе не нуждалось?

>> Становиться некоммерческим проектом им тоже не хочется, не для того 16 лет старались.
> Они уже были некоммерческим проектом, но по ряду причин это стало не вполне приемлемо. [...] На самом деле и сейчас стараются: над проектом работают в свободное от оплачиваемой работы время. И работа эта никак не пересекается с grsec, осознанно, во избежание конфликта интересов.

Просто любопытно, какая у них основная работа?