Microsoft реализует поддержку OpenSSH в Windows

А возможные опасения по поводу того, что компания внедрит свои дыры-бекдоры в код специально для содействия правительству в шпионаже, скорее всего совсем беспочвенные, так как мы уже упомянули, что естественно код будет под контролем сообщества.

Ой ребята... OpenSSH это, пускай, само по себе, и хорошо...

Ну коли речь о "контроле и иже с ним"...
Код может быть и подконтролен, а вот, например, изначально скомпиленные, конкретные, бинари...

При этом, открытый код, эта такая штуковина в которой, нынче, сам дьявол сломает себе рога с копытами, оторвет хвост, и никогда не обнаружит базу агрессивных инопланетян-людоедов размером в четыре галактики Туманность Андромеда...

Сложность открытого кода растет, и, не редко, даже сами отцы основатели соответствующего открытого, программного, обеспечения... Люди постоянно его мониторящие... Работающие над ним... Даже эти люди, уже, начинают плохо в нем ориентироваться...

За то написание этих "бэкдоров", благодаря открытому коду, облегчается в разы...

И любая школота только освоившая какой-нибудь СИ или Питон, и обладающая соответствующим желанием...

В конце концов есть разница между последовательным чтением Войны и Мира с самого начала (с целью определения того не заменили ли где авторский текст на восьмиэтажную отсебятину); или открыванием оной на любой странице, и..., ну вы поняли...

Да и все эти "тысячи глаз" (наверное в мечтах ОПОртунистов (особенно если вспомнить то, что те кому интересны сорцы это единицы, и интересуют их, как правило, лишь определенные вещи в оных, и на остальные они кладут болт за ненадобностью)) и прочий бред не имеющий отношения к реальной жизни...

Уже хватало случаев когда зловредокод в ОПО (причем зловредокод непосредственно в исходниках) обнаруживался лишь чудом (вспомним случай с Апачем на SourceForge: зловредокод нашли чудом, и кто его, в "обход авторов и прочих, положительных работяг-кодеров", закоммитил...)

А сколько такого кода еще не обнаружено, это очень большой вопрос...

Посему всегда смешно читать о "замечательной безопасности ОПО"... Вещь изначально, заметим, создававшуюся не для этого; а лишь для того, что-бы каждый мог "настроить ПО" под свои нужды без препятствий, и только (даже (как минимум изначально, до тех пор, пока он еще не слетел, окончательно, с катушек) фанатиком Столманом).

Код (для конкретных лиц, и целей) безопасен лишь тогда, когда, на всех стадиях (от собственно кодинга, до компилянья и распространения), контролируется тем кем надо, и как надо... А так..., сферическое ОПО в вакууме, это...

unihorn писал:
Код (для конкретных лиц, и целей) безопасен лишь тогда, когда, на всех стадиях (от собственно кодинга, до компилянья и распространения), контролируется тем кем надо, и как надо... А так..., сферическое ОПО в вакууме, это...

При этом, чем мень-ше к этому коду доступа за пределами тех кто контролирует его, тем лучше и безопаснее... Это аксиома коей не одна тыща лет...
А когда любой Вася Пупкин с улицы вхож в спальню Президента США...

И весь вопрос, таким образом, лишь в степени доверия остальных к контролёрам... И понятное дело, что разные группы лиц поддерживаемые разными контролерами, априори, находятся в оппозиции: вспоминаем старую поговорку: "что русскому хорошо, то немцу смерть"...

Да. Соглашусь. Доверие к контролерам это другая, и при этом сложная, тема... При этом может быть определенная иерархия контролеров (государственного уровня, внутрикорпоративного, частного, и т. п. уровня)...

Но... По любому... Сферическое ОПО это самый большой удар по безопасности...

ОПО хорошо как база (экономия средств на разработку и подобное, основа для технологической независимости, и подобное)...

Но если речь идет о безопасности, то продукт созданный на этой базе должен быть ОГРАНИЧЕННОГО ДОСТУПА! Только для соответствующих контролеров в рамках доверяющей им (но также не имеющих (или, в случае необходимости, имеющих ограниченный) доступа ("что знают двое, знают все") группы лиц.

Да. Соглашусь. Доверие к контролерам это другая, и при этом сложная, тема... При этом может быть определенная иерархия контролеров (государственного уровня, внутрикорпоративного, частного, и т. п. уровня)...

Но как не крути, всегда лучше, так или иначе, вдумчиво (по их делам, поступкам, и подобное) выбирать контролирующих (проколы могут быть и здесь, конечно, но), чем давать тем кому мы не доверяем, в руки, еще больше возможностей нам навредить...


Безконтрольное-же внедрение ОПО, это, действительно, только ЦРУ подкармливать...

Dark_Diver писал:
Бекдор проще внедрить и гораздо сложнее найти в "закрытом" ПО и закрытых протоколах.

ЗПО на то ЗПО, что доступ к коду имеет минимум народа (коий легче контролировать, и коим легче управлять)...

Посему, проще, МНОГО ПРОЩЕ это в ОПО (когда любой Вася Пупкин со стороны...). А не ЗПО. ЗПО, как и любое другое ограничение доступа, само по себе защита.

И тут уже вопрос, конкретно, в доверии к тому, кто это ЗПО пишет. А это дело (ДОВЕРИЕ) касается и ОПО: скажем заставят космонавта работать на ЦРУ, и будет Бунта воровать твои явки и пароли...

И я это про сорцы... Если будут "неучтенные изменения" в бинарях, то тут, вообще, будет не проще чем в ЗПО...

Найти сложнее?

Не намного. Начнем с того, что, даже в случае доступа к исходникам, для ЦЕЛЕНАПРАВЛЕННОГО поиска уязвимости (последовательного чтения Войны и Мира с самого начала, в поисках "неавторской восьмиэтажности") ты должен иметь соответствующую квалификацию и опыт.

Куда большую, надо заметить, квалификацию и опыт, чем для того, что-бы, "что-то там" впаять (в том числе по всяким, хитрым, методам типа "позиция буквы, номер страницы, затем на сто страниц назад, пять вперед, и скрытыми пометками по которым и не поймешь сразу, что они пометки,  еще что не бросающееся сразу в глаза, и тем сваяем нашу многоэтажность" (моя гипербола, надеюсь, понятна), открыв оное произведение Толстого на любой странице).

Простому Васе Пупкину, тут будет такой-же темный лес как и с бинарями ("теми-же исходниками" кстати говоря ).

А "не простому", как правило, без разницы бинарь у него, или сорцы. Более того, даже гениальный программист может быть абсолютным бездарем в деле поиска уязвимостей.

Посему искать зловредов, в ОПО, если и проще, то не намного. Посему не надо фанатизма и про ЗПО.

При этом доступ к сорцам это лишь ОДИН из методов поиска зловреда. И, не побоюсь этого слова, не самый важный и быстрый.

ОПО это отлично, но лишь как база для ЗПО (или типа него) того или иного рода (если вы думаете, что те-же военные откроют вам код конкретной специфики сделанной на базе ОПО, то вы сильно ошибаетесь; в открытом доступе будет лишь те сорцы, что и так уже известны, или не критичны).

Посему никаких, особых преимуществ в деле конкретной безопасности, у ОПО нет.

Достоинства ОПО (в том числе и в рамках Национальной безопасности) совсем в другом: ОПО это база для твоих ЗПО дел, под твоим контролем, экономящая твое время и денежные средства на разработку.

Но только для этого: потому-что, таки, безопаснее, пускай и много сложнее и дольше, сделать проект с нуля САМОМУ.

Сиречь ОПО это лишь, коли грамотно к этому делу подходить, лишь, таки, временная мера, перед ПОЛНОСТЬЮ СВОИМ ПРОЕКТОМ.

Временная мера когда нужно срочное решение, и времени ждать нет.

Ибо ОПО это уже готовое решение, хоть и требующее не меньшего шерстения на зловредов, и времени на него, чем ЗПО. Но, как минимум, не требующее оного на разработку с нуля, и позволяющему, с удобством, в отличии от ЗПО, вносить свои изменения.

Идеальное решение когда "ничего нет" (а "это нужно уже вчера"), но не "для нужности завтра".