03 março 2007

Opensource e software proprietário

A propósito do Pasatempos/ Passatempos, erros de ortografia, bugs e opensource...

Eis um exemplo de como o opensource e a correção de bugs funciona, usando aqui o Tux Vermelho. Fiz um artigo (programa software) e coloquei-o no ar (disponibilizei para download). Um utilizador leu o artigo e encontrou um erro (utilizou o programa e viu o bug). Fez um comentário a alertar para o erro (usou o bugzilla para apontar o bug). Aqui o autor confirmou o erro (bug) e corrigiu-o, colocando no ar o artigo corrigido (lançou nova versão do programa). Tudo foi numa questão de horas, 2 ou 3 no máximo.

Fazendo o paralelo com o software proprietário (microsoft neste exemplo), o autor colocava o artigo no ar, os leitores encontravam o erro mas não ousavam apontá-lo por medo de represálias ( a microsoft ameaçou com processos quem encontrar e denunciar falhas de segurança). O autor do artigo acabaria por descobrir o bug através de outros blogues ou sites informativos que estariam a ridicularizar o tal erro, e os leitores teriam de esperar pelas segundas-feiras (parece que é às segundas que a microsoft disponibiliza os patchs e correções), umas após outras, pela correção do bug caso o autor se designasse a fazê-la. E entretanto, o artigo ia mostrando o erro indefinidamente, ou quase....

Ah, e obrigado Bruno!

17 comentários:

Não tens bem a noção do que são projectos de software com alguma dimensão e complexidade e por isso achas que o mito dos olhos ilimitados é facilmente generalizável e com resultados garantidos, mas cada um acredita no que quer.

Já agora em relação às restantes afirmações, convém seres um pouco mais rigoroso:

1- A Microsoft não ameaça ninguém por reportar bugs (*)
2- Não é às segundas feiras, mas sim, nas segundas, terças feiras de cada mês

O que a Microsoft e muitos outros fabricantes, não concordam é com a divulgação dos problemas, de forma pública sem dar tempo ao fabricante para o corrigir atempadamente, no fundo os fabricantes apenas pedem um comportamento responsável por parte de quem descobre a vulnerabilidade, e para protecção dos seus clientes naturalmente.

Felipe Tonello disse...
04 março, 2007 03:01
 

Realmente, a comunidade open-source ajuda muito mesmo!

Eu já vivi uma esperiencia parecida em um projeto também..

Abraços

Não precisam de agradecer. É com todo o prazer que aponto as falhas dos outros. hehehe
Aproveito para chamar a atenção para mais 3 erros (desculpem se estou a ser inconveniente):
"Eis um exemplo de como o opensource e a correção de bugs"
"parece que é às segundas que a microsoft disponibiliza os patchs e correções), umas após outras, pela correção do bug"

correcção (falta o c)
correcções (falta o c)
patches (patch, no plural, tem um e entre o h e o s)

Em relação ao assunto do post, não acho que a Microsoft seja assim tão má (pelo menos nesse aspecto). Mas acho estranho o Intercrap Explorer ter estado quase 300 dias sem patch para um bug conhecido, já que "O que a Microsoft e muitos outros fabricantes, não concordam é com a divulgação dos problemas, de forma pública sem dar tempo ao fabricante para o corrigir atempadamente". E anunciarem o lançamento de vários patches e depois adiarem o lançamento de alguns para o mês seguinte... Enfim... E, estranhamente, foi com as correcções de Janeiro; algumas ficaram para Fevereiro. De ter sido uma das formas que eles usaram para impingir o Vista.

Eu estou muito contente com o meu Ubuntu. Já não uso o "Xispe" à quase um mês, mas tenho pena que o Photoshop CS2 não seja correctamente emulado no Wine. Bem, não se pode ter tudo.
Já estive para experimentar o Gentoo, mas é uma distro muito hardcore para mim; ainda mal sei trabalhar com a linha de comandos. Tenho muito que aprender, e não tenho problemas em aprendê-lo.

Foi o Vista que me fez instalar o Ubuntu. Como não tenho nenhum super computador para corrê-lo, decidi voltar a Linux. Mas, apesar de tudo, a nível gráfico a Microsoft (finalmente fez um trabalho porreiro.

falta um parêntesis em finalmente... d'oh!

O vosso blog é muito bacano!! Congrats!!

Luis Alves disse...
04 março, 2007 10:29
 

Falas em medo de represalias da parte da Microsoft!
mas confesso que nao fiz referencia ao bug “s” com medo de represalias do autor do Blog!

Bruno:
Podemos restringir-nos e falar apenas da Microsoft, mas basicamente tudo o que tem ver com actualizações e correcções, são processos e critérios para te facilitar a decisão, e tipicamente a forma como todos funcionam é muito semelhante.

Repara hoje a MS é previsivel, porque tem um processo mensal de disponibilização de correcções, e isso é bom, porque os administradores podem planear a sua implementação de forma adequada.

Depois um dos critérios mais relevantes, é o impacto e o facto de a vulnerabilidade ser ou não critica, por exemplo no caso de uma muito critica, esse periodo de um mês não é respeitado, e sai quando está pronto.

Quando as coisas não acontecem como é esperado, normalmente está ligado ao processo de decisão e é dificil que não tendo participado possas dizer que é para impingir o Vista...

Este comentário foi removido pelo autor.
Este comentário foi removido pelo autor.

@anônimo
Mas esses updates que tiveram o lançamento adiado eram críticos. Isso foi muito comentado.

"Quando as coisas não acontecem como é esperado, normalmente está ligado ao processo de decisão e é difícil que não tendo participado possas dizer que é para impingir o Vista..."
Qualquer pessoa com dois dedos de testa vê que foi uma forma de pressionar os utilizadores a comprar o Vista. Assim como eles andarem a oferecer o Vista aos estudantes universitários; eles nunca deram nada a ninguém, a não ser dores de cabeça. E a oferta de Acer Ferrari a vários bloggers... Acho que não é preciso dar mais exemplos. São estratégias de marketing um pouco mais agressivas, mas isso é lá com eles. Se eles me dessem um acer ferrari, a primeira coisa que fazia era instalar o Ubuntu.
Eu vejo o Vista como o Windows Millenium 2.0, outro falhanço. Mas posso estar errado.

"Mas esses updates que tiveram o lançamento adiado eram críticos. Isso foi muito comentado."

E como podes garantir que o problema não foi outro? Ninguém vai a correr comprar um Vista porque este mês não recebeu uns fixes... a maioria dos utilizadores nem sequer sabe que deveria actualizar os seus sistemas, enfim parece-me abusivo da tua parte essa associação.

"Qualquer pessoa com dois dedos de testa vê que foi uma forma de pressionar os utilizadores a comprar o Vista."

Não sei se concordo, como te disse anteriormente ninguém vai fazer o upgrade porque este mês não teve actualizações, até porque a mudança para muita gente não é uma decisão trivial.

"Assim como eles andarem a oferecer o Vista aos estudantes universitários; "

Se calhar já não te lembras mas foi um ds protocolos assinados com o governo, não é nada de novo, foi concretização de um compromisso... acho piada que se não desse alguém se lembraria que, "ah e tal afinal tant coisa e não deram..."

"E a oferta de Acer Ferrari a vários bloggers... "

Não se pode fazer? Tu se tivesses um produto a promover era uma coisa que nunca farias?

"Eu vejo o Vista como o Windows Millenium 2.0, outro falhanço. Mas posso estar errado. "

Naturalmente essa é a tua opinião, por acaso a minha não é igual, e considero que o Vista é uma evolução no Windows até maior do que o salto dado do 3.1 para o Win95, mas essa é também apenas a minha opinião.

Realmente manter em suposto segredo é bastante bom a nivel profissional.

É que o suposto segredo, pode fazer com que uma empresa perca milhões e o que é que a MS diz: leiam a EULA

http://www.eff.org/wp/eula.php

por isso é que os administradores de sistemas windows ficam assim:

http://www.novell.com/linux/windowstolinux/publicservice/

Ponto de vista empresarial
Se não querem mostrar o código, ao menos sejam leais e honestos.
ex:
O SMB tem uma falha não corrigida, certo. não usamos! trocamos temporariamente a zona mais sensivel por NFS, etc.

O vídeo da novell está excelente!!

Por acaso a mudança, para muitos utilizadores, até é trivial, como dizes. Para eles é mais um; venha ele...
Eu nunca disse que o adiamento dos updates era para pressionar o utilizador comum, aquele utilizador que pensa que o Windows é o único sistema operativo que existe.
E, em relação à oferta de portáteis a vários bloggers, eu preferia ter um bom serviço/produto que comprar os bloggers.

João Matos:
"É que o suposto segredo, pode fazer com que uma empresa perca milhões e o que é que a MS diz: leiam a EULA"

Queres concretizar? Não consegui perceber o que querias dizer. A EULA é um mecanismo utilizado nesta indústria, e as garantias e limitações são mais ou menos semelhantes entre os fabricantes.

"Se não querem mostrar o código, ao menos sejam leais e honestos."

Eu até gostava de te responder, mas o texto não está muito perceptível, se quiseres explicar melhor a tua ideia.

Bruno:
"E, em relação à oferta de portáteis a vários bloggers, eu preferia ter um bom serviço/produto que comprar os bloggers."

Olha se não tiveres um bom produto/serviço não é por enviares um portatil que as pessoas vão dizer que é excelente. A ideia segundo eles foi garantir que as pessoas analisam o produto com hardware do qual o produto tire partido de forma adequada.

Nem vale a pena traduzir, mas o tal bug foi comunicado à microsoft em 19 de Janeiro. Ora, parece que já vamos a 6 de Março......

Ya habíamos leido que el UAC de Windows Vista no es una medida de seguridad, y ahora nos encontramos ya con el primer problema de seguridad que permite escalar privilegios de forma local en Windows Vista.

Es decir, que un programa malicioso que, en principio, solo podría ejecutarse en modo usuario y que no tendría permisos para realizar ciertas tareas, puede conseguir acceso completo al sistema gracias a esta vulnerabilidad. El problema parece ser similar a un desbordamiento de buffer, en el que se sobreescriben datos en la memoria para conseguir ejecutar código.

La compañía eEye notificó el bug a Microsoft el paso 19 de enero y está esperando a que se solucione el problema para ofrecer más detalles de esta vulnerabilidad. Sería de esperar que el parche saliera publicado el próximo día 13, segundo martes de mes, momento en el que Microsoft publica las periódicas actualizaciones.

http://www.pcworld.com/article/id,129536-c,vistalonghorn/article.html

Não conheço o bug, mas o facto de não haver código de exploit conhecido, não faz desta situação algo realmente critico, dessa forma podem fazer os testes de regressão de forma conveniente e sem pressão, é mesmo assim.

Não vejo o problema, aliás problema só há um e é igual para todos, não há produtos sem problemas de segurança. Aliás se olhares para o número de vulnerabilidades e boletins de segurança nos produtos da MS nos produtos mais recentes, vais encontrar um padrão, o número deles anda a diminuir e com niveis de criticidade cada vez menos. Mas podes sempre comparar com o número de vulnerabilidades que são encontradas nos projectos OpenSource (podes procurar no CVE, Secunia, etc.), que com ciclos de desenvolvimento mais curtos possuem centenas de boletins, e no entanto pelos vistos toda a gente acha que o código é de muito maior qualidade...

Já agora para veres que a MS não possui nenhum exclusivo neste dominio

http://secunia.com/advisories/24359/

é apenas um dos mais recentes.

cada vez menores.