vasilevski, из вашего списка только сименс и страшные, так как делают станки, турбины, локомотивы и другое высокотехнологичное железо. А уход SAP и Oracle - это всего лишь неудобство, так во-первых, критическими для "инфраструктуры государства" они не являются, а во-вторых, развёрнутые системы и так поддерживаются силами собственных специалистов.
Кто выводит? Где выводит? Если речь про то, что клиент получает от сервера http-ответ с 405-м статусом, то клиент делает не post-запрос к эндпоинту /solve
Михаил, от ребёнка зависит, наверное. Полноценное изучение электроники подразумевает готовность понимать электродинамику, а это как минимум 9-й класс школы.
ValdikSS, думаю, что если Ральф Винтерхальтер обозлится из-за чего-то на США и сделает в ByteBuddy закладку, то Amazon точно так же её пропустит в прод, как пропустил уязвимость в log4j.
Если речь всё ещё о репозитории серьёзных LTS-дистрибутивов, то обновлённая библиотека просто не попадёт в репозитории.
Декабрьская уязвимость log4j наглядно продемонстрировала, что абсолютно все без исключения enterprise-проекты, включая мастадонтов типа Amazon и Netflix, не проверяют свои зависимости. Часто эти проекты держатся на использовании библиотек, у которых один мейнтейнер и условия использования "as is", таких как ByteBuddy например. Всё это жило на доверии к open source, но теперь энтерпрайзу придётся увеличивать все команды на 20-25%, нанимая в каждую ИБшников, которые будут заниматься постоянным аудитом зависимостей, или нанимая разработчиков для перехода с открытых решений на собственные проприетарные.
ValdikSS, и как поможет "фиксация версии по sha-хэшу коммитов"? Пусть даже речь о модулях интерпретируемого языка, что мешает мейнтейнеру библиотеки, которую использует полмира, засунуть в код деструктивные действия при выполнении на хосте с русским IP или локалью, сделать коммит и опубликовать новую версию, а другим мейнтенерам в своих библиотеках использовать эту новую версию? Вы при обновлении используемой вашей системой библиотеки просматриваете весь её код и код всех транизитивных зависимостей каждый раз?
Легко сказать! Когда у тебя тысячи микросервисов и каждый с весьма развесистые деревом зависимостей, постоянно проверять их все - огромный труд, а шанс на то, что мейнтейнер в одну из них засунет вредоносный код, стал высок. Опенсорс получил ужасный репутационный урон.
