Четверть миллиона за «жука»: Microsoft начинает активную борьбу с багами

[Logger]

Вторая половина июля оказалась щедрой на новости от Microsoft о борьбе с багами. 21 июля стало известно о запуске облачной платформы для поиска уязвимостей, а 26 июля представители компании объявили о новом этапе поощрительной программы — корпорация готова выплачивать до $250 000 за найденные баги.
...
Подробнее см.
https://habrahabr.ru/company/1cloud/blog/334552/

Интересно, для ERP такую программу кто-нить собирается делать ?

Что имеется в виду:
Если я нашел багу, например, в аксапте. Разобрался как ее решить, написал сам исправление или придумал обходной путь, то у меня нет мотивации регистрировать все это в поддержке. Я трачу свое время (которое суть деньги) на продирание сквозь бюрократические заборы, которые понастроили для защиты от энтузиастов. Т.е. делать продукт лучше у меня никакой мотивации нет - скорее есть сильная демотивация.

Если предусмотреть подобную программу для ERP, то можно сделать продукт качественнее.

[Player1]

Читаем п.1 кто не вправе участвовать

Quote:

WHO IS NOT ELIGIBLE TO PARTICIPATE?
You are a resident of any countries under U.S. sanctions (see link for current sanctions list posted by the United States Treasury Department);
You are currently an employee of Microsoft Corporation or a Microsoft subsidiary, or an immediate family (parent, sibling, spouse, or child) or household member of such an employee;
Within the six months prior to your submission you were an employee of Microsoft Corporation or a Microsoft subsidiary;
You currently (or within six months prior to your submission) perform services for Microsoft or a Microsoft subsidiary in an external staff capacity that requires access to the Microsoft Corporate Network, such as agency temporary worker, vendor employee, business guest, or contractor; or
You are involved in any part of the administration and/or execution of this program.

[belugin]

Quote:

Originally Posted by Logger

Интересно, для ERP такую программу кто-нить собирается делать ?

Что имеется в виду:
Если я нашел багу, например, в аксапте.

Обратите внимание, что bug bounty обычно относится к уязвимостям. Во времена оные мне достаточно было написать про уязвимость в блоге чтобы со мной связались.

Вы тоже имеете их ввиду а не другие баги?

[Logger]

Конечно нет.
В гробу я их видел

Я про исправление обычных багов аксапты.

[EVGL]

Quote:

Originally Posted by Logger

Что имеется в виду:
Если я нашел багу, например, в аксапте. Разобрался как ее решить, написал сам исправление или придумал обходной путь, то у меня нет мотивации регистрировать все это в поддержке. Я трачу свое время (которое суть деньги) на продирание сквозь бюрократические заборы, которые понастроили для защиты от энтузиастов. Т.е. делать продукт лучше у меня никакой мотивации нет - скорее есть сильная демотивация.

Если предусмотреть подобную программу для ERP, то можно сделать продукт качественнее.

Подобные рассуждения не в первый раз появляются на форуме, однако "дай денег - тогда сообщу" - это что-то новое.

На проекте, как котором я сейчас работаю, все решено рациональнее. У клиента есть договор на Premier MS Support. Поскольку платится подписка, есть стимул на потребление оплаченных услуг, и за правку багов в вашем стиле клиент вообще не платит, а сразу запрашивает поддержку и терпеливо ждет хотфиксов. Не факт, что такая процедура дешевле и быстрее, но как минимум sustainable: приложение не зарастает доморощенными исправлениями.

[fed]

Quote:

Originally Posted by EVGL

Подобные рассуждения не в первый раз появляются на форуме, однако "дай денег - тогда сообщу" - это что-то новое.

На проекте, как котором я сейчас работаю, все решено рациональнее. У клиента есть договор на Premier MS Support. Поскольку платится подписка, есть стимул на потребление оплаченных услуг, и за правку багов в вашем стиле клиент вообще не платит, а сразу запрашивает поддержку и терпеливо ждет хотфиксов. Не факт, что такая процедура дешевле и быстрее, но как минимум sustainable: приложение не зарастает доморощенными исправлениями.

Женя, я конечно очень рад за тебя и твоего клиента, но уверен ли ты что ты и в дальнейшем сможешь работать именно с такими клиентами ? (Которые готовы ждать исправления и у которых тестируются критические бизнес-процессы перед запуском, а не во время.)
Просто я тоже довольно долго работал (и работаю) с немецкими клиентами. Так вот там всякие мелкие и несрочные баги отлично репортятся в микрософт для исправления. Но если вылезает какая-то серьезная и срочная бага в критическом бизнес-процессе (а такое тоже случается, не смотря на тестирование), то бага правится моими силами (по крайней мере в DAX2009 и DAX2012 так было), а потом репортится в MS. Репортится бага, наверное, процентах в 70 случаев. В оставшихся 30 консультант не может внятно объяснить условия воспроизведения баги, а я слишком занят борьбой с пожарами...

[belugin]

Quote:

Originally Posted by Logger

Конечно нет.
В гробу я их видел

... как и читать статьи дальше заголовков

Если прочитать статью а не только заголовок то выяснится, что в случае azure мы имеем дело тоже с уязвимостями.

Quote:

Я про исправление обычных багов аксапты.

Мне лично известен только один случай чтобы кто-то платил за все вообще баги - это Дональд Кнут и TeX https://en.m.wikipedia.org/wiki/TeX

Да и тот прекратил а потом умер

[Logger]

В комментариях участников проскальзывает плохо скрываемое раздражение: "Ишь чего захотел, деньги ему плати за баги." Ересь какую-то высказал, да ?

А, собственно, в чем криминал ? И в чем принципиальная разница исправления секьюриты багов и обычных ?

Понятно, что все это вряд ли будут делать. Но ваше раздражение непонятно.

Собственно, данная программа показала свою эффективность. Прежде всего самим корпорациям это намного выгоднее чем организовывать масштабную программу по поиску и исправлению багов. Проще и намного дешевле немного простимулировать сообщество разработчиков, чем самим раздувать штаты программистов и тестировщиков.

Все это конечно действенно при наличии желания сделать продукт качественнее. А так сейчас пока каждый крутится в своей песочнице. На каждом проекте правятся примерно одни и те же баги, никогда не переходящие в сам MS. И кочуют они от версии к версии и никому до этого дела нет. В целом, это удорожает вхождение системы на рынок.

[belugin]

- я думаю, тут вопрос в соотношении цены и ущерба от баги. Где-то у Спольски был пост про то что иногда лучше сделать фичу чем исправить багу.

- по поводу репорта багов, мне нравилось предложение fed по введению репутации для тех кто репортит баги и пропуска первой линии поддержки для этих людей

[Logger]

Quote:

Originally Posted by belugin

- по поводу репорта багов, мне нравилось предложение fed по введению репутации для тех кто репортит баги и пропуска первой линии поддержки для этих людей

Да, идея классная.
Собственно, я саму идею по оплате исправления багов высказал как способ снять барьер для прохождения улучшений системы. Ведь бредовая ситуация же, когда одни и те же баги правятся на разных проектах разными людьми и годами не исправляются в MS. Интересно было бы подсчитать оверхед для системы в целом. Насколько удорожается владение.

[trud]

Quote:

Originally Posted by Logger

А, собственно, в чем криминал ? И в чем принципиальная разница исправления секьюриты багов и обычных ?
Прежде всего самим корпорациям это намного выгоднее чем организовывать масштабную программу по поиску и исправлению багов.

Ну отличие хотя бы в том что я думаю у МС есть лог багов, не до конца решенный. и я думаю он огромен и становится только больше. т.е. их не надо искать, их наоборот слишком много

[Vals]

дядьки, не спорьте
За поиск уязвимостей в безопасности (вручную или Penetration Test) уже давно платят деньги, причём хорошие. Есть биржи куда можно выкладывать их получать деньги

Причём есть градация ценника в зависимости от серьёзности уязвимости

[Logger]

Quote:

Originally Posted by trud

... и я думаю он огромен и становится только больше. т.е. их не надо искать, их наоборот слишком много

Категорически не согласен.
Багов всегда будет много. Но важность у всех разная.

Вы (или они) неявно предполагаете что если багов и так много то и наплевать на новые. Зажмуримся, не будем принимать новые проблемы, отгородимся множеством препятствий от вала новых запросов, сосредоточившись на старых... Они при этом исчезнут ? Проблемы сами пропадут? Нет !

Надо их активно искать и ранжировать по опасности и править самые важные.

Но проблема еще в чем? Раньше когда был оверлейинг, сам клиент или консалтер мог что-то пофиксить и все. И MS об этом никогда не узнавал. Некоторые баги были уже всем известны, не правились и кочевали из версию в версию. Теперь править их самим станет намного сложнее. Будет больше вал запросов к MS. Разработка стала существенно дороже. Возможно станет больше клиентов на Premier MS Support. Будет вал срочных запросов. Как организовать их нормальное исправление ?
Признать все новые баги фичами ?
Или свалить на другую систему где с этим все нормально.
Так что у нас с продажам D365 ?

[Logger]

Quote:

Originally Posted by Vals

дядьки, не спорьте
За поиск уязвимостей в безопасности (вручную или Penetration Test) уже давно платят деньги, причём хорошие. Есть биржи куда можно выкладывать их получать деньги

Да дело не в деньгах. Баги надо править.

Понятно что не захотят платить за несекьюрити баги. Тут не то что MS - само сообщество специалистов идею в штыки воспринимает, как ересь

[trud]

Quote:

Originally Posted by Logger

Возможно станет больше клиентов на Premier MS Support. Будет вал срочных запросов.

Кстати после закрытия оверлеинга баги требующие изменения protected-public методов или их параметров не сможет править даже MS., так как они должны гарантировать обратную совместимость с экстеншенами.

думаю просто будут закрывать с текстом - невозможно сделать без брейкабле чанжес, после этого вал спадет. и разработчики экстеншенов при этом отрапартуют о статистике уменьшения багов, так что всем хорошо

[EVGL]

Quote:

Originally Posted by fed

Но если вылезает какая-то серьезная и срочная бага в критическом бизнес-процессе (а такое тоже случается, не смотря на тестирование), то бага правится моими силами (по крайней мере в DAX2009 и DAX2012 так было), а потом репортится в MS. Репортится бага, наверное, процентах в 70 случаев. В оставшихся 30 консультант не может внятно объяснить условия воспроизведения баги, а я слишком занят борьбой с пожарами...

Тоже знакомо, конечно, на более бюджетных проектах. Только это все сойдет на нет, когда очередную модель "залочат". Вот, к примеру, обнаружили проблему в workflow escalation (модель Application Foundation) и выбор уже не такой широкий:

1. перестать использовать функциональность
2. ждать хотфикса.

[Vadik]

Quote:

Originally Posted by Logger

Собственно, я саму идею по оплате исправления багов высказал как способ снять барьер для прохождения улучшений системы

Можно про барьер чуть более развернуто? Ваши годные тикеты не принимают, закрывают без решения проблемы ? Что лично Вам мешает делать продукт лучше уже сейчас (ну, кроме того что лично Вам за это не платят) ? Я например стараюсь все найденные косяки репортить, даже те что могу починить без оверлееринга. Вернее, где могу - чиню, создаю тикет и помечаю его номером свои изменения чтобы их откатить по выходу хотфикса. Причем, добиться исправления в стандарте в моих же интересах - меньше конфликтов резолвить при обновлении. Надеюсь, мне за это воздастся, если не на параллельных / следующих проектах, то хотя бы в следующей жизни

[Logger]

Quote:

Originally Posted by Vadik

Что лично Вам мешает делать продукт лучше уже сейчас (ну, кроме того что лично Вам за это не платят) ?

Я написал же. После того как все исправлено - нет мотивации тратить время на регистрацию и доказывание что я не верблюд. Для меня это потеря времени (денег). Чистый убыток.

[trud]

На самом деле было бы куда лучше перевести все на Open Source. (как делают например с .net core). причем сейчас технически это по сути просто сделать, все в файлах.
тогда бы можно было не только зарепортить, но и сразу фикс приложить
и была бы мотивация - так как они отмечают там особо отличившихся и можно было бы это указывать в резюме

[Vadik]

Quote:

Originally Posted by trud

На самом деле было бы куда лучше перевести все на Open Source

Или устроиться в product team. Там и замотивируют как надо, и make Axapta great again, и монетизация опять же