Можно ли делать народные сайты

@Люк Кио · Регистрация: 11.03.2016

Студворк — интернет-сервис помощи студентам

Безопасно ли весь программный код своего очень крупного сайта (смесь банка, форума, соцсети...) делать открытым, чтобы его все видели?
Злоумышленники могут этим воспользоваться и навредить?
Например, одни ставят задачи по дальнейшему улучшению этого сайта, другие предлагают как и что сделать и переделать, третьи имеют доступ к тому чтобы внедрить новые предложения.
Вторые получают одноразовые вознаграждения за свои советы и рекомендации.
Что-то типа народного сайта.

@OwenGlendower · 18.06.2024, 14:08

Сообщение от Люк Кио

Безопасно ли весь программный код своего очень крупного сайта (смесь банка, форума, соцсети...) делать открытым, чтобы его все видели?

Небезопасно. Особенно с учетом то что вы задаете такой вопрос.

Сообщение от Люк Кио

Злоумышленники могут этим воспользоваться и навредить?

Могут.

Сообщение от Люк Кио

Например, одни ставят задачи по дальнейшему улучшению этого сайта, другие предлагают как и что сделать и переделать, третьи имеют доступ к тому чтобы внедрить новые предложения.
Вторые получают одноразовые вознаграждения за свои советы и рекомендации.

Для первых и вторых исходный код не нужен. Для третьих можно давать доступ к коду в закрытом репозитории.

@Люк Кио · 18.06.2024, 20:48 **[ТС]**

OwenGlendower, спасибо!

@Rius · 18.06.2024, 21:30

Люк Кио, и в то же время не следует полагаться на то, что если ваш код никто не видит, то это делает его сразу же безопасным само по себе.

@Люк Кио · 19.06.2024, 00:13 **[ТС]**

Сообщение от Rius

Люк Кио, и в то же время не следует полагаться на то, что если ваш код никто не видит, то это делает его сразу же безопасным само по себе.

Rius, это разумеется.
Я только не понимаю, что опасного в том что код видят злоумышленники.
Сколько сейчас готовых движков форумов и прочего. Все злоумышленники видят их код, но не могут навредить.
А OwenGlendower, утверждает, что это опасно.
Может Вы знаете что тут именно опасного?

@Rius · 19.06.2024, 04:56

Люк Кио,
В коде, написанном человеком, присутствуют ошибки. Это данность.
Вот вы выложили свой код в открытый доступ. Его посмотрели 1000 человек с квалификацией, не уступающей вашей. И нашли ошибки, уязвимости.
Если они при этом их исправили, это хорошо. В этом преимущество проектов с открытым исходным кодом.
Если же над ним никто более не работал, значит, ошибки никто более не исправлял. Это плохо для вас.

@Люк Кио · 19.06.2024, 09:46 **[ТС]**

Сообщение от Rius

Если они при этом их исправили, это хорошо. В этом преимущество проектов с открытым исходным кодом.

Rius, спасибо.
Значит, если проект хорошо финансируется, то лучше делать его с открытым исходным кодом?
Лучше платить тем кто реально над ним работает, находит и исправляет ошибки, делает код компактнее, уменьшает затраты ресурсов и т.д., чем платить постоянным рабочим, которые могут тупо переливать из пустого в порожнее?
Лишь небольшая часть постоянных рабочих занимается внедрением предложений советников.
И эту часть при необходимости можно расширять из числа тех, кто больше и лучше советовал.
Как Вы считаете,Rius?

@Rius · 19.06.2024, 10:03

Нет. Это какой-то то бред, ну или я в идею не "въезжаю".
Чтобы в проекте с открытым исходным кодом стали участвовать сторонние разработчики, он должен их заинтересовать.
Оплаты для сторонних нет.
Обязанности их перед проектом тоже нет.
Это энтузиасты.

@Люк Кио · 19.06.2024, 10:08 **[ТС]**

Сообщение от Rius

Оплаты для сторонних нет.

Оплата одноразовая.

Сообщение от Rius

Обязанности их перед проектом тоже нет.

Обязанностей нет. Это плохо?

@Rius · 19.06.2024, 10:17

Оплату в опенсорсе получают только кадровые работники организаций, которые, будучи заинтересованы в развитии опенсорс проекта, решились выделить на работу над ним своих работников.

Ну вот нашёлся у вас какой-то баг. Пользователь сообщил о нём и ждёт решения. А больше заинтересованных нет и никто не чешется, потому что это частный случай. Приказать вы никому не можете, только своим работникам.

@Люк Кио · 19.06.2024, 10:45 **[ТС]**

Сообщение от Rius

Ну вот нашёлся у вас какой-то баг. Пользователь сообщил о нём и ждёт решения. А больше заинтересованных нет и никто не чешется, потому что это частный случай. Приказать вы никому не можете, только своим работникам.

Так это и входит в задачу своих работников. Чесаться - это их обязанность. Им за это стабильную зарплату платят.
О Реально опасных багах сторонний советник может написать в более высшие инстанции. Чтобы получить более высокую разовую оплату.

@Phantom-84 · 19.06.2024, 18:56

Кроме уязвимостей в коде могут быть и какие-то хитрости (оригинальные алгоритмы, защитные ключи и т.п.). Но их обычно немного, т.е. их легко локализовать. Поэтому в своем проде можно использовать ветку с этими хитростями, а в публичной ветке вместо них использовать какие-то простые "заглушки".

Можно и целые библиотеки выпиливать из публичной ветки. Например, меня недавно просили дать оригинальный код авторизации, но я был не в праве это сделать, т.к. наша текущая продуктовая либа авторизации отсутствует во всех публичных репозиториях.

@Люк Кио · 19.06.2024, 23:27 **[ТС]**

Phantom-84, спасибо!!!

Добавлено через 1 минуту

Сообщение от Phantom-84

Можно и целые библиотеки выпиливать из публичной ветки. Например, меня недавно просили дать оригинальный код авторизации, но я был не в праве это сделать, т.к. наша текущая продуктовая либа авторизации отсутствует во всех публичных репозиториях.

Можно же это выпилить из других опенсорсов

Новые блоги и статьи Все статьи Все блоги /
Dev-c++5.11 Покорение вершины russiannick 02.06.2025 С утра преследовала одна мысль - вот бы выучить С++. Сказано-сделано. Окончив смену, скачал в интернете бестселлер Дэвиса Dev-C++ для чайников. Книга оказалась интересной и я скачал среду, на примере. . .	Тестирование Pull Request в Kubernetes с GitHub Actions и GKE Mr. Docker 02.06.2025 Мы все знаем, что тестирование на локальной машине или в изолированном CI-окружении — это не совсем то же самое, что тестирование в реальном кластере Kubernetes. Контекстно-зависимые ошибки, проблемы. . .	Оптимизация CMake для ускорения сборки bytestream 02.06.2025 Вы когда-нибудь ловили себя на мысле, что пока ваш проект компилируется, можно успеть сварить кофе, прочитать главу книги или даже сбегать в соседний офис? Если да, то добро пожаловать в клуб. . .	JS String.prototype.localeCompare() mr_dramm 02.06.2025 скопировано из этой темы чтобы не потерялось. localeCompare без указания локали для сравнения строк под капотом использует Intl. Collator , который работает согласно Unicode Collation Algorithm. . .	Облако проектов russiannick 01.06.2025 Слава Джа, написал прогу для компиляции. Значит написал компилятор? Обьем кода 300+ строк. Язык-яву. Вводим данные, заполняем поля, тычем радиобаттоны. И по итогу в поле результат получам листинг. . .
Rust и квантовые вычисления: интеграция с Q# и Qiskit golander 01.06.2025 Мир квантовых вычислений традиционно оставался закрытым клубом для высокоуровневых языков типа Python и специализированных DSL вроде Q#. Однако в последние годы Rust начал тихую революцию в этой. . .	Кэш REDIS и C# UnmanagedCoder 01.06.2025 Redis (Remote Dictionary Server) - это ультраскоростное хранилище данных в оперативной памяти, работающее по принципу "ключ-значение". Суть проста: данные хранятся не на диске, а прямо в RAM, что. . .	Lenovo IH110CX Rev: 1.0 motherboard manual Maks 01.06.2025	Размещения без повторений VistaSV30 31.05.2025 Код возвращает список вариантов размещений A^{k}_{n}=\frac{n!}{(n-k)!} from itertools import permutations def pwr(k, n): # Размещение без повторений (Placement without repetition) if k. . .	Redis и Node.js с TypeScript - решения для высоконагруженных систем Reangularity 31.05.2025 Redis (Remote Dictionary Server) — сверхбыстрое хранилище данных в памяти, способное обрабатывать операции за микросекунды. И что особенно важно для нас — с удивительно простым API. А теперь. . .

Можно ли делать народные сайты

Решение

Решение

@Люк Кио 51 / 40 / 15 Регистрация: 11.03.2016 Сообщений: 580 Записей в блоге: 22

	Можно ли делать народные сайты 18.06.2024, 12:19. Показов 954. Ответов 12 Метки нет (Все метки) Безопасно ли весь программный код своего очень крупного сайта (смесь банка, форума, соцсети...) делать открытым, чтобы его все видели? Злоумышленники могут этим воспользоваться и навредить? Например, одни ставят задачи по дальнейшему улучшению этого сайта, другие предлагают как и что сделать и переделать, третьи имеют доступ к тому чтобы внедрить новые предложения. Вторые получают одноразовые вознаграждения за свои советы и рекомендации. Что-то типа народного сайта. 0

@Люк Кио 51 / 40 / 15 Регистрация: 11.03.2016 Сообщений: 580 Записей в блоге: 22
	18.06.2024, 20:48 [ТС]
	OwenGlendower, спасибо! 0

@Rius 12344 / 7330 / 1624 Регистрация: 25.05.2015 Сообщений: 22,179 Записей в блоге: 14
	18.06.2024, 21:30
	Люк Кио, и в то же время не следует полагаться на то, что если ваш код никто не видит, то это делает его сразу же безопасным само по себе. 1

@Rius 12344 / 7330 / 1624 Регистрация: 25.05.2015 Сообщений: 22,179 Записей в блоге: 14
	19.06.2024, 04:56
	Сообщение было отмечено Люк Кио как решение Решение Люк Кио, В коде, написанном человеком, присутствуют ошибки. Это данность. Вот вы выложили свой код в открытый доступ. Его посмотрели 1000 человек с квалификацией, не уступающей вашей. И нашли ошибки, уязвимости. Если они при этом их исправили, это хорошо. В этом преимущество проектов с открытым исходным кодом. Если же над ним никто более не работал, значит, ошибки никто более не исправлял. Это плохо для вас. 1

@Rius 12344 / 7330 / 1624 Регистрация: 25.05.2015 Сообщений: 22,179 Записей в блоге: 14
	19.06.2024, 10:03
	Нет. Это какой-то то бред, ну или я в идею не "въезжаю". Чтобы в проекте с открытым исходным кодом стали участвовать сторонние разработчики, он должен их заинтересовать. Оплаты для сторонних нет. Обязанности их перед проектом тоже нет. Это энтузиасты. 0

@Rius 12344 / 7330 / 1624 Регистрация: 25.05.2015 Сообщений: 22,179 Записей в блоге: 14
	19.06.2024, 10:17
	Оплату в опенсорсе получают только кадровые работники организаций, которые, будучи заинтересованы в развитии опенсорс проекта, решились выделить на работу над ним своих работников. Ну вот нашёлся у вас какой-то баг. Пользователь сообщил о нём и ждёт решения. А больше заинтересованных нет и никто не чешется, потому что это частный случай. Приказать вы никому не можете, только своим работникам. 0

@Phantom-84 377 / 319 / 73 Регистрация: 15.09.2017 Сообщений: 1,432
	19.06.2024, 18:56
	Сообщение было отмечено Люк Кио как решение Решение Кроме уязвимостей в коде могут быть и какие-то хитрости (оригинальные алгоритмы, защитные ключи и т.п.). Но их обычно немного, т.е. их легко локализовать. Поэтому в своем проде можно использовать ветку с этими хитростями, а в публичной ветке вместо них использовать какие-то простые "заглушки". Можно и целые библиотеки выпиливать из публичной ветки. Например, меня недавно просили дать оригинальный код авторизации, но я был не в праве это сделать, т.к. наша текущая продуктовая либа авторизации отсутствует во всех публичных репозиториях. 1