Когда открытый код начинает жрать своего хозяина изнутри
Аспирантка из Эдинбурга Миранда Хит разобрала 57 историй полного выгорания мейнтейнеров open-source, перелопатила интервью и почтовые рассылки и выдала финальный список из шести причин, почему люди, которые буквально держат на себе весь интернет, тихо ненавидят свою жизнь.
1. Денег нет и никогда не будет
60 % сопровождающих работают бесплатно. Проект становится популярным, после чего баг-репорты и ишью сыплются тоннами. Человек сидит ночами, потому что «надо», а потом понимает, что крупные корпорации на его коде делают миллиарды и даже не говорят «спасибо».
2. Появились деньги → появились новые проблемы
Когда находишь спонсора, то часть комьюнити сразу записывает тебя в предателей и «продажную шкуру». Плюс теперь ты боишься, что завтра спонсор попросит запилить бэкдор или закрыть ишью «потому что нам неудобно».
3. Токсичные пользователи, которым ты «должен»
«Почему до сих пор нет фича-нейм?», «Ты что, дурак, это же баг!!!1», «Исправь быстрее, у меня завтра презентация». И ты всё это читаешь и отвечаешь «спасибо за фидбек, посмотрю в ближайшее время» 🤡
4. Гиперответственность и неспособность сказать «нет»
Люди чувствуют себя лично виноватыми, если где-то в мире кто-то не может собрать пакет. В итоге берут на себя всё: поддержку, ревью, документацию, модерацию — и тонут.
5. Рутина съедает всю радость
Хочешь писать код, а вместо этого три часа в день отвечаешь на «не работает» и «а когда будет?».
6. GitHub-метрики и вечная гонка за звёздами
Нужно постоянно доказывать, что ты не зря ешь хлеб: больше коммитов, больше форков, больше стикеров на ноутбуке. Репутация стала KPI, а выгорание — побочным эффектом.
Как итог, 73 % разработчиков open-source уже проходили через выгорание, 60 % мейнтейнеров в 2024-м думали бросить всё к чертям. Оставшиеся просто переходят в режим «поддерживаю по остаточному принципу» и игнорируют критичные уязвимости, потому что сил нет.
Что может изменить ситуацию по мнению исследования:
▪️ Регулярная и предсказуемая оплата
▪️ Культура «спасибо, ты крут» вместо культуры «ты мне должен»
▪️ Наставничество, чтобы не тащить всё в одиночку
▪️ Защита мейнтейнеров от токсиков (баны, модерация, публичные порицания такого поведения)
Берегите мейнтейнеров, пока мы не остались с одним большим CVE вместо инфраструктуры❤️
Linux / Линукс🥸
Аспирантка из Эдинбурга Миранда Хит разобрала 57 историй полного выгорания мейнтейнеров open-source, перелопатила интервью и почтовые рассылки и выдала финальный список из шести причин, почему люди, которые буквально держат на себе весь интернет, тихо ненавидят свою жизнь.
1. Денег нет и никогда не будет
60 % сопровождающих работают бесплатно. Проект становится популярным, после чего баг-репорты и ишью сыплются тоннами. Человек сидит ночами, потому что «надо», а потом понимает, что крупные корпорации на его коде делают миллиарды и даже не говорят «спасибо».
2. Появились деньги → появились новые проблемы
Когда находишь спонсора, то часть комьюнити сразу записывает тебя в предателей и «продажную шкуру». Плюс теперь ты боишься, что завтра спонсор попросит запилить бэкдор или закрыть ишью «потому что нам неудобно».
3. Токсичные пользователи, которым ты «должен»
«Почему до сих пор нет фича-нейм?», «Ты что, дурак, это же баг!!!1», «Исправь быстрее, у меня завтра презентация». И ты всё это читаешь и отвечаешь «спасибо за фидбек, посмотрю в ближайшее время» 🤡
4. Гиперответственность и неспособность сказать «нет»
Люди чувствуют себя лично виноватыми, если где-то в мире кто-то не может собрать пакет. В итоге берут на себя всё: поддержку, ревью, документацию, модерацию — и тонут.
5. Рутина съедает всю радость
Хочешь писать код, а вместо этого три часа в день отвечаешь на «не работает» и «а когда будет?».
6. GitHub-метрики и вечная гонка за звёздами
Нужно постоянно доказывать, что ты не зря ешь хлеб: больше коммитов, больше форков, больше стикеров на ноутбуке. Репутация стала KPI, а выгорание — побочным эффектом.
Как итог, 73 % разработчиков open-source уже проходили через выгорание, 60 % мейнтейнеров в 2024-м думали бросить всё к чертям. Оставшиеся просто переходят в режим «поддерживаю по остаточному принципу» и игнорируют критичные уязвимости, потому что сил нет.
Что может изменить ситуацию по мнению исследования:
▪️ Регулярная и предсказуемая оплата
▪️ Культура «спасибо, ты крут» вместо культуры «ты мне должен»
▪️ Наставничество, чтобы не тащить всё в одиночку
▪️ Защита мейнтейнеров от токсиков (баны, модерация, публичные порицания такого поведения)
Берегите мейнтейнеров, пока мы не остались с одним большим CVE вместо инфраструктуры
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤52😢15🫡8💔4🔥3
Please open Telegram to view this post
VIEW IN TELEGRAM
👍39😁17🔥5🌚2
Миллион беглецов с Windows перешли на Zorin OS 18
Zorin OS 18 ориентирована на начинающих пользователей, привыкших работать в Windows. Разработчики сообщили, выпуск от 15 октября преодолел рубеж в миллион загрузок, что побило все прошлые рекорды проекта, а 78% от всех загрузок выполнены пользователями Windows.
Параллельно команда Zorin анонсировала тестовую, но уже работающую функцию бесшовного обновления. Теперь пользователи Zorin OS 17.x могут обновиться до 18-й версии без полной переустановки, с сохранением всех файлов, настроек и приложений. Функцию пока выкатывают осторожно, но через несколько недель обещают объявить ее стабильной.
Linux / Линукс🥸
Zorin OS 18 ориентирована на начинающих пользователей, привыкших работать в Windows. Разработчики сообщили, выпуск от 15 октября преодолел рубеж в миллион загрузок, что побило все прошлые рекорды проекта, а 78% от всех загрузок выполнены пользователями Windows.
Параллельно команда Zorin анонсировала тестовую, но уже работающую функцию бесшовного обновления. Теперь пользователи Zorin OS 17.x могут обновиться до 18-й версии без полной переустановки, с сохранением всех файлов, настроек и приложений. Функцию пока выкатывают осторожно, но через несколько недель обещают объявить ее стабильной.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍30❤5🤣4
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁35🤬32👍10☃2🎅1
Forwarded from Типичный Сисадмин
Госдума в финальном чтении утвердила введение технологического сбора (поправки в закон «О промышленной политике»). С 1 сентября 2026 года за ввоз или производство любой продукции, содержащей электронную компонентную базу, придется заносить в бюджет дополнительные деньги. Платить будут все... импортеры, юрлица, ИП и даже отечественные производители, ради поддержки которых это вроде бы как и затевалось.
В самом документе есть пара волнительных нюансов. Во-первых, сбор уплачивается за каждую единицу продукции, а ставки будут установлены в фиксированных ценовых значениях (рубли за штуку), а не в процентах. Максимальная планка 5000 рублей за единицу. Звучит терпимо для сервера за миллион, но если Минпромторг решит брать фиксированные 100 рублей за каждый ввезенный контроллер или датчик, стоимость бюджетной электроники может улететь в стратосферу
Во-вторых, сбор касается не только чипов, но и промышленной продукции, содержащей электронные модули. То есть под раздачу попадают станки, автомобили и любое оборудование сложнее лома. А чтобы нефтяники на буровых платформах не расслаблялись.... в законе отдельно прописано, что платить придется даже за производство на континентальном шельфе и в исключительной экономической зоне. Не спрятаться даже в море 🌊
Минфин уже планирует собрать 218 миллиардов рублей к 2028 году. Эти средства обещают направить на развитие отрасли. Внедрять сбор будут поэтапно, но любой, кто закупал железо в корпоративный сектор, понимает, что дистрибьюторы заложат в цену не только сам сбор, но и риски, и расходы на администрирование. О ценах на железо даже и думать не хочется...
- Почему этот сервер стоит как однушка в Москве?
- Там внутри 2000 компонентов😱
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤬22😁15🤔5❤4
Когда проектировали эту Вселенную, просто сделали
Linux / Линукс🥸
git clone debian-universe.git и забыли поменять дефолтный логотип в ассетах.Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚39🔥14💯4😁3
В GRUB2 нашли шесть дыр ломающих UEFI Secure Boot
Вышел масштабный набор патчей для загрузчика GRUB2. Большинство уязвимостей это классические use-after-free, но на этот раз они позволяют обойти главный защитный механизм UEFI Secure Boot. По сути, это возможность выполнить свой код после того, как цепочка доверия уже прошла проверку, но до загрузки самой ОС.
Дело в том, что просто обновить пакет grub недостаточно. Дистрибутивам нужно перевыпустить и переподписать кучу артефактов инсталляторы загрузчики пакеты с ядром прошивки fwupd и shim-прослойку.
▪️CVE-2025-61661: Баг в обработке строк с USB-устройств. GRUB выделял буфер на основе первого сообщения от устройства, а потом при преобразовании кодировки использовал данные из последующих. Подсунув специальное USB-устройство, можно было выйти за границы буфера.
▪️ CVE-2025-61663, -61664, -54770, -61662: Целая пачка use-after-free в командах
▪️ CVE-2025-54771: Ошибка в подсчете ссылок на файловые структуры в
Ситуация особенно опасна из-за роли GRUB2 в процессе безопасной загрузки. Большинство дистрибутивов используют прослойку shim, подписанную Microsoft, которая проверяет подпись самого загрузчика. Уязвимости GRUB2 позволяют злоумышленнику вклиниться в процесс после успешной проверки подписи, но до загрузки ядра. Результатом становится полный контроль над загрузкой, что позволяет подменить операционную систему или модифицировать ее компоненты.
Для блокирования уязвимостей без отзыва корневых сертификатов дистрибутивы могут использовать механизм SBAT. Этот подход предполагает добавление в исполняемые файлы метаданных о версии компонента. Он позволяет заблокировать уязвимые версии загрузчика путем выпуска новых подписей без необходимости обновлять гигантские списки отозванных сертификатов.
Админам стоит ожидать периода активных обновлений. Пока исправления не будут полностью развернуты, остается надеяться, что злоумышленники не воспользуются уязвимостями на критически важных системах 🤷♂️
Linux / Линукс🥸
Вышел масштабный набор патчей для загрузчика GRUB2. Большинство уязвимостей это классические use-after-free, но на этот раз они позволяют обойти главный защитный механизм UEFI Secure Boot. По сути, это возможность выполнить свой код после того, как цепочка доверия уже прошла проверку, но до загрузки самой ОС.
Дело в том, что просто обновить пакет grub недостаточно. Дистрибутивам нужно перевыпустить и переподписать кучу артефактов инсталляторы загрузчики пакеты с ядром прошивки fwupd и shim-прослойку.
▪️CVE-2025-61661: Баг в обработке строк с USB-устройств. GRUB выделял буфер на основе первого сообщения от устройства, а потом при преобразовании кодировки использовал данные из последующих. Подсунув специальное USB-устройство, можно было выйти за границы буфера.
▪️ CVE-2025-61663, -61664, -54770, -61662: Целая пачка use-after-free в командах
normal, net_set_vlan и gettext. Проблема в том, что обработчики команд не очищались при выгрузке модулей. Если выполнить такую команду после выгрузки модуля, то можно получить доступ к уже освобожденной памяти. Похожие баги нашли и в тестовых командах, но им CVE не дали.▪️ CVE-2025-54771: Ошибка в подсчете ссылок на файловые структуры в
grub_file_close(), что снова приводит к use-after-free.Ситуация особенно опасна из-за роли GRUB2 в процессе безопасной загрузки. Большинство дистрибутивов используют прослойку shim, подписанную Microsoft, которая проверяет подпись самого загрузчика. Уязвимости GRUB2 позволяют злоумышленнику вклиниться в процесс после успешной проверки подписи, но до загрузки ядра. Результатом становится полный контроль над загрузкой, что позволяет подменить операционную систему или модифицировать ее компоненты.
Для блокирования уязвимостей без отзыва корневых сертификатов дистрибутивы могут использовать механизм SBAT. Этот подход предполагает добавление в исполняемые файлы метаданных о версии компонента. Он позволяет заблокировать уязвимые версии загрузчика путем выпуска новых подписей без необходимости обновлять гигантские списки отозванных сертификатов.
Админам стоит ожидать периода активных обновлений. Пока исправления не будут полностью развернуты, остается надеяться, что злоумышленники не воспользуются уязвимостями на критически важных системах 🤷♂️
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14🤣7👍5🔥2🌚1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁49🔥5💯2
Производители ноутбуков HP и Dell стали искусственно ограничивать функциональность своих устройств
В нескольких современных моделях они намеренно отключают аппаратное декодирование видеокодека HEVC H.265, хотя установленные процессоры AMD и Intel полностью поддерживают эту возможность на уровне железа.
HP прямо указывает на отключение аппаратного ускорения HEVC в спецификациях некоторых линеек ProBook и EliteBook. А вот у Dell ситуация менее прозрачная, так как официальные спецификации не содержат явных предупреждений, но служба поддержки компании подтвердила, что HEVC недоступен на базовых конфигурациях без дискретной графики, 4K-экрана или специального пакета мультимедийных лицензий.
Ни одна из компаний не стала объяснять причины такого решения. Можно лишь предположить, что всему виной лицензионные расходы. С января 2025 года увеличиваются лицензионные отчисления за каждое устройство с поддержкой HEVC, и простое отключение функции позволяет производителям формально избежать дополнительных платежей.
В итоге пользователи получают устройства, где часть возможностей процессора искусственно заблокирована. Для работы с HEVC представители HP и Dell предложили клиентам использовать сторонние программные реализации кодека. HEVC давно стал стандартом для видеоконференций, потокового видео и работы с мультимедиа, а программное декодирование сильнее нагружает процессор и быстрее сажает батарею, так что сейчас это вызвало волну критики от пользователей. Вы платите за современный процессор, но не можете использовать все его функции, потому что производитель решил сэкономить😐
Linux / Линукс🥸
В нескольких современных моделях они намеренно отключают аппаратное декодирование видеокодека HEVC H.265, хотя установленные процессоры AMD и Intel полностью поддерживают эту возможность на уровне железа.
HP прямо указывает на отключение аппаратного ускорения HEVC в спецификациях некоторых линеек ProBook и EliteBook. А вот у Dell ситуация менее прозрачная, так как официальные спецификации не содержат явных предупреждений, но служба поддержки компании подтвердила, что HEVC недоступен на базовых конфигурациях без дискретной графики, 4K-экрана или специального пакета мультимедийных лицензий.
Ни одна из компаний не стала объяснять причины такого решения. Можно лишь предположить, что всему виной лицензионные расходы. С января 2025 года увеличиваются лицензионные отчисления за каждое устройство с поддержкой HEVC, и простое отключение функции позволяет производителям формально избежать дополнительных платежей.
В итоге пользователи получают устройства, где часть возможностей процессора искусственно заблокирована. Для работы с HEVC представители HP и Dell предложили клиентам использовать сторонние программные реализации кодека. HEVC давно стал стандартом для видеоконференций, потокового видео и работы с мультимедиа, а программное декодирование сильнее нагружает процессор и быстрее сажает батарею, так что сейчас это вызвало волну критики от пользователей. Вы платите за современный процессор, но не можете использовать все его функции, потому что производитель решил сэкономить
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤬31👍7💔5😁4🌚1