conraid ha scritto:Ma anche se compili "controlli" tutto il codice?
Io questo intendevo per "impacchettato". Prendiamo un tar.gz o bz2, lo decompriamo e via di configure&&make&&make install
Ed i bug scemi come quello dei numeri casuali ci passano davanti inosservati.
Beh però Debian è sviluppata da una comunità con una forte organizzazione, dove per contribuire allo sviluppo (patch, nuovi pacchetti,...) bisogna essere "accettati". In quel caso quindi c'è da aspettarsi che tutta quella organizzazione serva proprio ad evitare che fatti come quello riguardo ad openssh non si verifichino. Ci sono già diverse paia di occhi che dovrebbero aver controllato il pacchetto prima dell'utente finale (considerando la trafila experimental-sid-testing). A che serve tutta la baracca se poi la responsabilità è di una sola persona?
Che sia l'utente che si compila il pacchetto a scovare i bug di programmazione è d'altro canto raro (e poco efficiente). Chi avrebbe mai il tempo e le conoscenze per mettersi a fare auditing del codice (perchè oltre ai bug delle patch dei pacchettizzatori ci sono i bug degli upstreamers) anche solo di uno dei software che usa?
Ma fra i due estremi (iper-organizzazione e utenti che trovano e fixano i bug) c'è la via di mezzo. Si può ad esempio distribuire il software senza patch a meno che non siano proprio necessarie, come fa Patrick. Ogni distro potrebbe mantenere e testare il software in modo indipendente (così non avviene: ubuntu utilizzava il pacchetto buggato di Debian e così la falla si è espansa a macchia d'olio).
Non vedo comunque alternativa alla distribuzione e all'uso dei precompilati.