forum.opennet.ru

"Результаты аудита безопасности библиотек Boost"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Результаты аудита безопасности библиотек Boost"	+/–
Сообщение от Аноним (-), 23-Май-24, 16:40
Проблема в том, что всё что ты предлагаешь, это куча эвристик, которые ничего не гарантируют. Rust формально доказывает свои гарантии. Все его ограничения накладываемые на safe код, это заявка на то, чтобы войти в разряд языков, позволяющих формально доказывать спецификации, но не факт, что она будет принята: раст доказывает не всё, лишь то, что можно описать его системой типов, что с одной стороны минус, с другой стороны это компромисс, который позволяет всё же писать программы на нём. Rust позволяет больше чем C++ из коробки, и есть десятки проектов, которые пытаются полную формальную верификацию приделать сверху. С идеями типа вот пишешь ты в коде assert, а тебе IDE подчёркивает его зелёным, потому что удалось формально доказать, что он никогда не выстрелит. Или формальные доказательства unsafe кода на соблюдение инвариантов. И тут ты такой с пачкой эвристик... Ты бы ещё AI предложил бы задействовать для проверки кода на безбажность.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Результаты аудита безопасности библиотек Boost, opennews, 23-Май-24, 09:51 [смотреть все]

Из отчета А что, можно не проверять , п00by, 23-Май-24, 10:44 (5) //
- Можно, конечно Кто тебя заставит , Fracta1L, 23-Май-24, 10:57 (6) //
  - Обычно в документации к функциям программных библиотек отражают необходимость ве, п00by, 23-Май-24, 11:47 (16) //
    - А о допустимых значениях аргументов функции где узнать В документации Отлично , Sw00p aka Jerom, 23-Май-24, 14:21 (38)
      - Да документация это хорошо Но лучше провести тест как поведёт себя функция А е, srgazh, 24-Май-24, 17:47 (113)
        
        Ну да фаззинг тесты в приложении к документации, повторяю, типы зачем тогда Нет, Sw00p aka Jerom, 25-Май-24, 00:18 (119)
        
        Вот кстати libtorrent использует boost и там применяют фаззинг-тесты, вопрос кач, фаззер, 25-Май-24, 14:46 (120)
        
        как и обычных тестов и всяких санитайзеров и мемликфайндеров Ну че готовы писат, Sw00p aka Jerom, 25-Май-24, 15:47 (122)
    - Ага, а цель программы - обрабатывать данные юзера, вот пусть он сам свои входные, Анон666, 23-Май-24, 15:22 (44)
      - Входные данные предлагается очищать перед их правомерным использованием и только, Аноним, 23-Май-24, 17:23 (63)
        
        типы тогда зачем нужны , Sw00p aka Jerom, 23-Май-24, 18:02 (73)
      - мне на собесе такой тест давали приложение не проверяет входные данные из полей , фаззер, 25-Май-24, 14:50 (121)
    - A kak vi predlagaete togda postupat 8216 Dva raza proveryat 8216 bufer Tak, Аноним, 23-Май-24, 15:51 (50)
      - Если тебя держат в подвале, где нет воды и нормальной клавиатуры, моргни два раз, Карлос Сношайтилис, 23-Май-24, 21:40 (90)
        
        Ну что ты, чел просто слаку поставил, Аноним, 23-Май-24, 22:20 (91)
        
        И что - по ходу установки забыл как русские буквы выглядят , xtotec, 24-Май-24, 02:45 (97)
  - Можно всё Но потом прилетит обратка , Аноним, 23-Май-24, 21:24 (89)
- Если написано на расте, то да тег сарказм , надеюсь, ставить не надо , aname, 29-Май-24, 10:47 (124)
Зачем нужен сабж при наличии std regex, ctre и кучи специализированных библиоте, Аноним, 23-Май-24, 10:57 (7) //
- std regex взят прямо из boost с минимумом изменений Как и большая часть осталь, Аноним, 23-Май-24, 11:08 (10) //
  - Почему после этого их не выкинуть из современных версий Boost , Аноним, 23-Май-24, 11:25 (12) //
    - Как раз поэтому - Boost, как внешнюю библиотеку, обновить проще, чем стд , НяшМяш, 23-Май-24, 11:40 (14)
      - Нет, проще не иметь дела с boost вообще там, где он не требуется Тогда его и об, Аноним, 23-Май-24, 12:02 (20)
        
        а где он требуется , penetrator, 23-Май-24, 23:35 (94)
        
        Буст, или Ranges Буст - ну у него полно уникальных либ, опережающих по фичам и , Аноним, 24-Май-24, 18:29 (114)
      - Проще ли , Аноним, 23-Май-24, 12:03 (21)
      - Тогда зачем с самого начала было совать это в std , Да ну нахер, 23-Май-24, 17:14 (62)
      - Т е потому что это помойка из багов и гогнокода Ну да, всё так , Аноним, 23-Май-24, 18:11 (76)
  - Значит ли жто, что значительная часть реализаций std regex страдает теми же про, Аноним, 23-Май-24, 11:27 (13)
  - Ну нет, STL-ые варианты редко совместимы с бустовыми regex в частности, Аноним, 23-Май-24, 18:07 (75)
- Для программ, написанных для C 11 , например И компиляторов, умеющих только , Аноним, 23-Май-24, 12:00 (18) //
  - А что сразу не на Си, зачем какие-то , на Си писать надо, как Линус завещал , Аноним, 23-Май-24, 12:05 (23)
- Затем, что Boost Regex быстрее std regex в любом из популярных компиляторов , Аноним, 24-Май-24, 01:56 (95) //
  - ctre быстрее обоих , Аноним, 24-Май-24, 18:30 (115)
  - а PCRE вообще умеет в JIT, Аноним, 24-Май-24, 18:30 (116)
Почему не asio , Аноним, 23-Май-24, 10:57 (8) //
- Почему не asio что , Аноним, 23-Май-24, 11:17 (11) //
  - Аноним имел ввиду, почему Boost ASIO не проверяли , Аноним, 23-Май-24, 12:02 (19) //
    - Не знаю, Аноним, 23-Май-24, 12:38 (24)
      - а кто знает, если не эксперты опенет , Аноним, 23-Май-24, 13:59 (33)
Свалка лишних зависимостей , Пряник, 23-Май-24, 11:03 (9) //
- Вот, кстати, да небезопасный код на расте следует искать в первую очередь именн, Аноним, 23-Май-24, 15:26 (47)
Отличная вещь могла бы быть, но завязанность на остальные буст-либы header-onl, Аноним, 23-Май-24, 11:58 (17) //
- В том числе и те, которые ещё не изобретены Положи машину времени где взял и ша, Аноним, 23-Май-24, 19:15 (80)
Си плюс-плюсники напряглись Программируешь на Си плюс-плюс - вляпаешся в буст , Аноним, 23-Май-24, 13:08 (26) //
- либо в кути, Аноним, 23-Май-24, 14:00 (35) //
  - Не обязательно, есть ещё рандомные гитхабовские поделки , Аноним, 23-Май-24, 15:55 (51)
  - Qt - вещь животворящая , Аноним, 23-Май-24, 16:47 (59) //
    - Не нравится У оригинального Qt как минимум 3 форка , nox., 23-Май-24, 17:27 (67)
- Хорошо, а на С какие либы , Аноним, 23-Май-24, 17:25 (64)
- Сделал немало проектов на С , ни разу сабж не использовал Всегда лучше писать , nox., 23-Май-24, 17:25 (65) //
  - Ну показывай уже самописанную прошивку для процессора, ядро, компилятор, юзерлен, Аноним, 23-Май-24, 19:17 (81) //
    - По вашему, сабж - это прошивка для процессора, ядро, компилятор, юзерленд Не , nox., 23-Май-24, 20:38 (86)
    - В ядре и прошивках сабжу совершенно точно не место , Аноним, 24-Май-24, 12:34 (105)
  - Наверное, и ввод-вывод сам писал , Аноним, 23-Май-24, 20:32 (83) //
    - Это - да И весьма оригинально, кстати , nox., 23-Май-24, 20:37 (85)
      - В этом комментарии не хватает ссылки на житхаб, Аноним, 23-Май-24, 22:21 (92)
        
        нормальные люди на жидхабе не сидят , InuYasha, 24-Май-24, 14:09 (107)
        
        порядочные люди этнофолизмы не используют , Аноним, 24-Май-24, 18:33 (117)
      - Ну то поделитесь опытом Давайте уже ссылку на проект, Аноним, 24-Май-24, 10:35 (101)
Буст не нужен Почти любая ошибка выдает сообщение на несколько экранов, без бут, Аноним, 23-Май-24, 13:16 (27) //
- просто переходите на Rust, Аноним, 23-Май-24, 13:28 (28) //
  - когда в раст завезут ООП - плюсы можно закапывать смело, Аноним, 23-Май-24, 14:01 (36) //
    - ООП не панацея при композиции проблем меньше чем при наследовании, так что испо, Аноним, 23-Май-24, 14:14 (37)
      - Ой, измученные ООП мозги исправить почти невозможно Это как религия , Анон666, 23-Май-24, 15:24 (45)
        
        Негибкое мышление Так нужно изучать другие технологии, не всё в одном ООП сидет, fuggy, 24-Май-24, 03:19 (98)
      - А как в этой композиции обеспечить полиморфизм Я понимаю, что vtable можно и в , Аноним, 23-Май-24, 16:41 (58)
        
        не понял вопрос, что вам нужно для начала гляньте это и далее https doc rust, Аноним, 23-Май-24, 17:57 (72)
    - Плюсы никогда не умрут, - и это факт Раст это просто достойная альтернатива кот, Аноним, 23-Май-24, 14:21 (39)
      - Будут как фортран сейчас - выбросить хочется, а переписать лень , Анон666, 23-Май-24, 15:25 (46)
        
        Да вроде фортран выбрасывать желающих нет Именно свои задачи он хорошо выполняе, Аноним, 24-Май-24, 19:36 (118)
    - шаблоны с синтаксисом раст лучше сразу застрелиться, 12yoexpert, 23-Май-24, 14:25 (40)
  - Rust в Qt уже поддерживается Нет Как будет, проинформируйте , nox., 23-Май-24, 17:28 (68) //
    - Cкажем Rust появился в 2015, а С в 1985, - вы ведь понимаете что у С фора в , Аноним, 23-Май-24, 17:45 (71)
      - Короче, Либо падишах помрет, либо ишак сдохнет с Ходжа Насреддин Я точно не, nox., 23-Май-24, 20:35 (84)
      - Не через 30, а может через 10 появится новый революцинный язык Уже появилис, Аноним, 23-Май-24, 21:04 (88)
        
        Сразу пишите - 20 лет Чтобы денег дали, а проверять не пришли , Аноним, 24-Май-24, 10:45 (102)
    - А кто вообще кутэ поддерживает нормально кроме сишки Только не надо про pyqt, н, Аноним, 23-Май-24, 22:30 (93)
- Именно поэтому новичкам да и не только новичкам нравится Rust где компилятор э, Аноним, 23-Май-24, 13:33 (30) //
  - В чём проблема прописать ключи компиляции -Wall -Wextra -Wpedantic -Werror и пов, eugene_martein, 23-Май-24, 16:12 (54) //
    - Проблема в том, что всё что ты предлагаешь, это куча эвристик, которые ничего не , Аноним, 23-Май-24, 16:40 (57)
    - в расте лайфтаймы и борроу чекер всё разрулят - аналога этому в С просто нет -, Аноним, 23-Май-24, 17:35 (70)
    - Раз проблемы нет, то объясни тогда, почему в наблюдаемой реальности мало кто так, Аноним, 23-Май-24, 19:26 (82)
    - Сам-то давно так делал С включенным clang-tidy в принципе невозможно что либо с, наука_кандидатов, 24-Май-24, 17:05 (112)
- Тут проблема не в конкретной библиотеке шаблонов STL тоже хорошо вываливает тон, Аноним, 23-Май-24, 14:00 (34) //
  - Ложь auto SomeFoo auto x, auto y return x y x y Препроцессор ниче, sabudilovskiy, 23-Май-24, 16:14 (55) //
    - Я сказал предполагаю, а не утверждаю Но то, что и STL, мягко говоря, не отличае, Аноним, 23-Май-24, 16:32 (56)
    - Это именно что препроцессор C , например, не может проверить эту функцию, наск, Аноним, 23-Май-24, 16:50 (60)
- Поздравляем, вы постигли тонкости програмизма, Аноним, 23-Май-24, 16:01 (52)
- Думать головой не пробовал , ZloySergant, 23-Май-24, 17:25 (66)
- У нас говорили Не нравится - сделай лучше , nox., 23-Май-24, 17:29 (69) //
  - Там ещё говорили Ешь что дают и просовывали тебе это на лопате , Аноним, 24-Май-24, 09:47 (99)
- Будто в остальных плюcах как-то иначе Когда наконец таки везде прикрутят концеп, Аноним, 23-Май-24, 18:13 (77) //
  - Ага, потерпите немножко Вот-вот станет лучше, вы только маленько потерпите , Аноним, 23-Май-24, 19:12 (79) //
    - Ну все пойдем на руст, много уже на нём написали , Аноним, 24-Май-24, 09:48 (100)
    - Оно и так стало лучше уже сейчас, если сравнивать с комиляторами 10-15 летней да, Аноним, 24-Май-24, 14:37 (109)
Не пользуюсь, но уважаю Это настолько гигантский и сложный проект, что это найде, InuYasha, 24-Май-24, 14:17 (108) //
- с чего ты взял, что проверили каждую строчку стат анализатор показал несколько , Аноним, 24-Май-24, 15:17 (110) //
  - с чего ты взял, что я считаю что проверили каждую строчку , InuYasha, 29-Май-24, 10:37 (123)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру