Большой пост про фаззинг cURL от Trail of Bits. Делается акцент на том в каких местах не хватает покрытия и что можно сделать и как, что бы улучшить результаты. В частности, проблемным местом является HSTS.

How we applied advanced fuzzing techniques to cURL
https://blog.trailofbits.com/2024/03/01/toward-more-effective-curl-fuzzing/

Coverage Report доступен тут
https://storage.googleapis.com/oss-fuzz-coverage/curl/reports/20240129/linux/src/curl/lib/report.html

Я, когда писал вот этот вот текст, про то, что rust с его каргой - тихий ужас, с точки зрения дистростроения, тогда еще не имел в своем #CI программ на #rust.

А теперь у меня их порядка 20 штук, и, я должен сказать, что https://xn--r1a.website/itpgchannel/337, как говорится, не "в бровь, а в глаз".

Потому что мой CI половину (половину, Карл!!!) времени занимается тем, что пересобирает эти несчастные 25 программ. Напомню, что всего у меня порядка 2000 пакетов, и вот где эти 20 программ, и где половина времени моего CI?

Я тогда, конечно, был чересчур оптимистичен, и решение, которое мне тогда пришло в голову, прямо сейчас реализовать не выйдет.

Но я выкрутился тем, что отселил CI для растопрограмм в отдельный контур, на отдельный, более слабый, хост (64 ядра vs 88 в основном контуре). Ну и оно там "как-то" бежит, не замедляя весь процесс.

Я не знаю, какой-нибудь сраный https://github.com/zed-industries/zed - это 1200 крейтов в зависимостях. 1200, Карл!!! Это больше, чем просто библиотек в среднем дистрибутиве Linux! Для сборки текстового редактора! 1200 библиотек!

Меня, признаться, знатно подбамбливает от всей этой экосистемы, так жить нельзя.

Появление React ребята из Facebook часто объясняют примерно вот так:

В далеком 2013 году в Facebook Chat часто появлялись фантомные сообщения: уведомление приходило, иконка загоралась, а самого сообщения не было.

Это было вызвано ужасным императивным кодом, а чтобы это починить и был придуман React.

У меня всегда были вопросы к этому объяснению. А вчера Adam Wolff причастный к разработке добавил деталей:

Да, React, был действительно создан для решения проблемы фантомных уведомлений, но эту проблему он в результате не решил, потому что проблема на самом деле была в кривых настройках DNS где-то в Индии, и когда DNS починили проблема ушла.

https://twitter.com/dmwlff/status/1762885255030259854?s=20

Electronics engineering student and self-described "microcontroller enjoyer" Vlad Tomoiagă has given the Linux kernel a new platform on which to stretch its wings — by successfully running it on the ultra-low-cost $0.15-a-chip WCH Electronics CH32V003 RISC-V microcontroller.
https://www.hackster.io/news/vlad-tomoiaga-puts-linux-on-the-0-15-wch-ch32v003-risc-v-microcontroller-a81a8058e303

Linux on a $0.15 RISC-V microcontroller

This project enables the CH32V003 microcontroller to run Linux. It achieves this by using an 8 megabyte SPI PSRAM chip and a RISC-V emulator (the very nice mini-rv32ima by cnlohr). The emulation is needed because the PSRAM cannot be mapped into the address space of the microcontroler. The Linux kernel and rootfs is loaded into PSRAM at boot from an SD card. FAT filesystem access is provided by the Petit FatFs library.

https://github.com/tvlad1234/linux-ch32v003

За ссылку спасибо подписчику

С праздником, котанессы!

Полтора года назад я писал, что разыскиваю последний номер Linux Format, которого у меня не хватало.

Теперь он у меня есть, я собрал все выпуски Linux Format в бумаге 🌝

Так же у меня образовались лишние номера

Январь 2014 - 178/179
Февраль 2014 -  180
Март 2014 - 181
Апрель 2014 - 182
Май 2014 - 183
Июнь 2014 -184
Июль 2014 - 185
Август 2014 - 186
Сентябрь 2014 - 187
Ноябрь 2014 - 188

Если кому-то нужны, то пишите в комменты или в личку @rusdacent

Аварийная смена пароля в #linux

Я несколько лет использовал такую громоздкую схему для смены пароля при аварийном восстановлении доступа

mount --bind /dev /mnt/dev 
mount --bind /dev/pts /mnt/dev/pts 
mount --bind /proc /mnt/proc 
mount --bind /sys /mnt/sys 
chroot /mnt/
passwd root

Но только сегодня случайно узнал, про аргумент passwd --root
И вся работа свелась к двум простым командам, прекрасно!

mount /dev/sda3 /mnt
passwd --root /mnt root

Можно, конечно, ещё и через grub рутоваться и менять, но это не всегда удобно.

Старый, но интересный пост про то как разные парсеры JSON мучали

JSON is the de facto standard when it comes to (un)serialising and exchanging data in web and mobile programming. But how well do you really know JSON? We'll read the specifications and write test cases together. We'll test common JSON libraries against our test cases. I'll show that JSON is not the easy, idealised format as many do believe. Indeed, I did not find two libraries that exhibit the very same behaviour. Moreover, I found that edge cases and maliciously crafted payloads can cause bugs, crashes and denial of services, mainly because JSON libraries rely on specifications that have evolved over time and that left many details loosely specified or not specified at all.

Parsing JSON is a Minefield 💣
https://seriot.ch/projects/parsing_json.html

нацеленной на решение накопившихся проблем, связанных со взаимодействием разработчиков открытого ПО и коммерческих компаний в контексте получения справедливой обратной отдачи от коммерческого использования кода. В лицензии отражена возможность наложения дополнительных условий на коммерческое использование, например, за получаемую в результате использования открытого ПО выгоду компаниям предлагается расплачиваться либо участием в разработке, либо оплачивая отчисления, которые будут распределяться между непосредственными разработчиками.

Ключевым отличием лицензии Post-Open от существующих открытых лицензий, таких как GPL, является введение договорной составляющей, доступной для расторжения в случае нарушения условий лицензии. Предусмотрено два вида договорных соглашений - бесплатный и платный. Платный договор предусматривает возможность заключения соглашения на предоставление дополнительных прав, и применяется при коммерческом распространении продуктов или внесении изменений без их публичного раскрытия.

Лицензия также определяет организацию "POST-OPEN ADMINISTRATION", выступающую от имени лицензиаров, являющуюся их юридическим представителем, при необходимости отстаивающую их права и занимающуюся распределением полученных средств с учётом вклада в разработку.

Среди ситуаций, которые приводят к расторжению договорной составляющей упомянуты: нарушение условий лицензии; предъявление претензий в нарушении патентов; наложение дополнительных условий (например, добавление в договор с клиентами санкций, в случае распространения информации об исправлении уязвимостей); внесение изменений, подпадающих под закон об экспортном контроле (например, для военных целей и создания оружия); утаивание сведений об уязвимостях или препятствование их раскрытию; использование кода для обучения моделей машинного обучения, распространяемых под другими условиями.

Из проблем GPL, которые пытаются решить в новой лицензии, отмечается ориентация GPL лишь на предоставление прав, без возможности отнимать чьи-то права. Подобная особенность позволяет компаниям обходить требования лицензии GPL в отношении предоставления неограниченного доступа к исходным текстам. 

Например, при покупке дистрибутива RHEL клиент подписывает с компанией Red Hat договор на поддержку и получение обновлений, в котором ограничена редистрибуция данных и упомянуто право расторгнуть договор при несоответствии фактически установленных и купленных копий RHEL, что заставляет выбирать между свободой распоряжения ПО и сохранением статуса клиента Red Hat. Поставляемые для RHEL патчи с устранением уязвимостей применяются к GPL-коду и в соответствии с лицензией пользователь имеет право на их распространение, но это может быть воспринято как нарушение договора с Red Hat и станет поводом для прекращения оказания услуг компании.

Брюс Перенс опубликовал черновой вариант лицензии Post-Open
https://www.opennet.ru/opennews/art.shtml?num=60761

Оригинал
https://perens.com/2024/03/08/post-open-license-first-draft/

Черновик лицензии
https://perens.com/static/DEVELOPMENT_LICENSE.txt