水木社区手机版
首页
|版面-编程技术(Programming)|
新版wap站已上线
返回
首页
|
上页
|
下页
|
尾页
|
10/15
|
转到
主题:各位是从哪里获取code review的动力的?
90楼
|
leadu
|
2021-12-13 12:09:38
|
只看此ID
https://www.mysmth.net/nForum/#!article/Programming/198651
这个用户群可都是开发者,咋也这么大漏洞呢?开源的号称的无数人帮你review,是真的吗?
【 在 moudy 的大作中提到: 】
: 开发者看代码和用户看代码,那效率天壤之别
--
FROM 123.116.198.*
91楼
|
z16166
|
2021-12-13 17:25:56
|
只看此ID
这不就是阿里review出来的?
知道JNDI会导致RCE,然后去找哪些可能有JNDI的。不过我这是放马后炮,哈哈
【 在 leadu 的大作中提到: 】
:
https://www.mysmth.net/nForum/#!article/Programming/198651
: 这个用户群可都是开发者,咋也这么大漏洞呢?开源的号称的无数人帮你review,是真的吗?
--
修改:z16166 FROM 114.245.195.*
FROM 114.245.195.*
92楼
|
leadu
|
2021-12-13 19:07:42
|
只看此ID
没出问题说review有效果,出了问题也说review有效果...
这次明显就是安全团队的做事风格,是安全研究发现还是监测发现还说不好。
研发人员发现问题一般是直接补,而不是四处爆。安全人员发现漏洞算产出,行为不一样。
安全团队的叫漏洞利用,可不叫review。绝大部分安全人员的精力也是在windows等几个商业软件身上的。
这次明显是log4j社区的code review完全失效,被不知道哪的安全人员发现利用。log4j的开发人员也不需要为此负责。商业软件要出这事,开发人员的奖金没了,同事之间声誉也会受到影响
所以开源软件那句“全球无数人员帮你review”纯粹是自己给自己贴金
【 在 z16166 的大作中提到: 】
: 这不就是阿里review出来的?
: 知道JNDI会导致RCE,然后去找哪些可能有JNDI的。不过我这是放马后炮,哈哈
:
--
FROM 123.116.198.*
93楼
|
z16166
|
2021-12-13 19:09:33
|
只看此ID
第一句有问题。没出问题,不等于review有效果啊
fuzzy test不是通常说的代码review,只能算是测试。前面没严格区分这个东西,也不需要严格区分这个东西
另外,由于是开源的,也可能是fuzzy和看代码结合的。
【 在 leadu 的大作中提到: 】
: 没出问题说review有效果,出了问题也说review有效果...
: 这次明显就是安全团队的做事风格,是安全研究发现还是监测发现还说不好。
: 研发人员发现问题一般是直接补,而不是四处爆。安全人员发现漏洞算产出,行为不一样。
: ...................
--
修改:z16166 FROM 114.245.195.*
FROM 114.245.195.*
94楼
|
leadu
|
2021-12-13 19:14:15
|
只看此ID
这个就是无关讨论了。总之不能把漏洞爆破当成review的效果,这是review失效的结果
【 在 z16166 的大作中提到: 】
: 第一句有问题。没出问题,不等于review有效果啊
: fuzzy test不是通常说的代码review,只能算是测试。前面没严格区分这个东西。
:
--
FROM 123.116.198.*
95楼
|
z16166
|
2021-12-13 19:16:00
|
只看此ID
哪里有写着开源代码的质量仅仅靠全世界的code review而没靠测试和其他手段就得到保证的?
“开源代码的质量仅仅靠全世界的code review就比闭源软件质量高”,这估计是某些人自己想象出来的一种论调,然后就把这个论调当靶子批了吧
【 在 leadu 的大作中提到: 】
: 这个就是无关讨论了。总之不能把漏洞爆破当成review的效果,这是review失效的结果
:
--
修改:z16166 FROM 114.245.195.*
FROM 114.245.195.*
96楼
|
leadu
|
2021-12-13 19:21:50
|
只看此ID
ok,那你也认为质量最终还是靠测试和其他手段。
说起其他手段来,纯社区开源的产品哪有事后追责手段?也没有。专业测试力量?也没有。
纯社区开源的其他的手段,就是一句:不爽自己改
【 在 z16166 的大作中提到: 】
: 哪里有写着开源代码的质量仅仅靠全世界的code review而没靠测试和其他手段就得到保证的?
:
--
FROM 123.116.198.*
97楼
|
leadu
|
2021-12-13 19:37:35
|
只看此ID
无数开源吹无数次说过的事情,为啥会有别人立靶子的错觉呢。百度一下 开源 眼睛
https://www.zhihu.com/question/43647982
https://blog.csdn.net/weixin_34291004/article/details/90355028
https://baike.baidu.com/item/%E5%9F%83%E9%87%8C%E5%85%8B%C2%B7%E5%8F%B2%E8%92%82%E6%96%87%C2%B7%E9%9B%B7%E8%92%99%E5%BE%B7/9716573
https://baike.baidu.com/item/%E6%9E%97%E7%BA%B3%E6%96%AF%E5%AE%9A%E5%BE%8B
【 在 z16166 的大作中提到: 】
: 哪里有写着开源代码的质量仅仅靠全世界的code review而没靠测试和其他手段就得到保证的?
: “开源代码的质量仅仅靠全世界的code review就比闭源软件质量高”,这估计是某些人自己想象出来的一种论调,然后就把这个论调当靶子批了吧
:
--
FROM 123.116.198.*
98楼
|
z16166
|
2021-12-13 20:08:49
|
只看此ID
这里面主要的是下面这个吧?
【雷蒙德的名言,“足够多的眼睛,就可让所有问题浮现。”(Given enough eyeballs, all bugs are shallow),对开放源代码运动影响很大,这亦即是著名的林纳斯定律。】
真的有人会认为“眼睛”只代表review代码,而不包含测试代码等?
哪个软件从业人员会认为只靠看代码就能把代码质量看好?
【 在 leadu 的大作中提到: 】
: 无数开源吹无数次说过的事情,为啥会有别人立靶子的错觉呢。百度一下 开源 眼睛
:
https://www.zhihu.com/question/43647982
:
https://blog.csdn.net/weixin_34291004/article/details/90355028
: ...................
--
FROM 114.245.195.*
99楼
|
xiaoju
|
2021-12-13 20:12:29
|
只看此ID
主要是java自古以来代码质量偏低,不如dotnet审核严格
【 在 leadu (leadu) 的大作中提到: 】
: 没出问题说review有效果,出了问题也说review有效果...
: 这次明显就是安全团队的做事风格,是安全研究发现还是监测发现还说不好。
: 研发人员发现问题一般是直接补,而不是四处爆。安全人员发现漏洞算产出,行为不一样。
: ...................
--
FROM 27.91.71.*
首页
|
上页
|
下页
|
尾页
|
10/15
|
转到
选择讨论区
首页
|
分区
|
热推
BYR-Team
©
2010.
KBS Dev-Team
©
2011
登录完整版