AXForum  
Вернуться   AXForum > Прочие обсуждения > Курилка
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск Все разделы прочитаны

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 01.08.2017, 13:10   #1  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Четверть миллиона за «жука»: Microsoft начинает активную борьбу с багами
Вторая половина июля оказалась щедрой на новости от Microsoft о борьбе с багами. 21 июля стало известно о запуске облачной платформы для поиска уязвимостей, а 26 июля представители компании объявили о новом этапе поощрительной программы — корпорация готова выплачивать до $250 000 за найденные баги.
...
Подробнее см.
https://habrahabr.ru/company/1cloud/blog/334552/

Интересно, для ERP такую программу кто-нить собирается делать ?

Что имеется в виду:
Если я нашел багу, например, в аксапте. Разобрался как ее решить, написал сам исправление или придумал обходной путь, то у меня нет мотивации регистрировать все это в поддержке. Я трачу свое время (которое суть деньги) на продирание сквозь бюрократические заборы, которые понастроили для защиты от энтузиастов. Т.е. делать продукт лучше у меня никакой мотивации нет - скорее есть сильная демотивация.

Если предусмотреть подобную программу для ERP, то можно сделать продукт качественнее.

Последний раз редактировалось Logger; 01.08.2017 в 13:15.
Старый 01.08.2017, 14:09   #2  
Player1 is offline
Player1
Участник
 
250 / 114 (4) +++++
Регистрация: 21.04.2008
Читаем п.1 кто не вправе участвовать
Цитата:
WHO IS NOT ELIGIBLE TO PARTICIPATE?
You are a resident of any countries under U.S. sanctions (see link for current sanctions list posted by the United States Treasury Department);
You are currently an employee of Microsoft Corporation or a Microsoft subsidiary, or an immediate family (parent, sibling, spouse, or child) or household member of such an employee;
Within the six months prior to your submission you were an employee of Microsoft Corporation or a Microsoft subsidiary;
You currently (or within six months prior to your submission) perform services for Microsoft or a Microsoft subsidiary in an external staff capacity that requires access to the Microsoft Corporate Network, such as agency temporary worker, vendor employee, business guest, or contractor; or
You are involved in any part of the administration and/or execution of this program.
Старый 01.08.2017, 21:40   #3  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
3,991 / 2133 (79) +++++++++
Регистрация: 16.01.2004
Адрес: Москва
Цитата:
Сообщение от Logger Посмотреть сообщение
Интересно, для ERP такую программу кто-нить собирается делать ?

Что имеется в виду:
Если я нашел багу, например, в аксапте.
Обратите внимание, что bug bounty обычно относится к уязвимостям. Во времена оные мне достаточно было написать про уязвимость в блоге чтобы со мной связались.

Вы тоже имеете их ввиду а не другие баги?
Старый 01.08.2017, 23:04   #4  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Конечно нет.
В гробу я их видел

Я про исправление обычных багов аксапты.
Старый 01.08.2017, 23:53   #5  
EVGL is offline
EVGL
Moderator
Соотечественники
Лучший по профессии 2015
Лучший по профессии 2014
 
3,519 / 1996 (74) ++++++++
Регистрация: 09.07.2002
Адрес: Parndorf, AT
Цитата:
Сообщение от Logger Посмотреть сообщение
Что имеется в виду:
Если я нашел багу, например, в аксапте. Разобрался как ее решить, написал сам исправление или придумал обходной путь, то у меня нет мотивации регистрировать все это в поддержке. Я трачу свое время (которое суть деньги) на продирание сквозь бюрократические заборы, которые понастроили для защиты от энтузиастов. Т.е. делать продукт лучше у меня никакой мотивации нет - скорее есть сильная демотивация.

Если предусмотреть подобную программу для ERP, то можно сделать продукт качественнее.
Подобные рассуждения не в первый раз появляются на форуме, однако "дай денег - тогда сообщу" - это что-то новое.

На проекте, как котором я сейчас работаю, все решено рациональнее. У клиента есть договор на Premier MS Support. Поскольку платится подписка, есть стимул на потребление оплаченных услуг, и за правку багов в вашем стиле клиент вообще не платит, а сразу запрашивает поддержку и терпеливо ждет хотфиксов. Не факт, что такая процедура дешевле и быстрее, но как минимум sustainable: приложение не зарастает доморощенными исправлениями.
Старый 02.08.2017, 08:32   #6  
fed is offline
fed
Moderator
Ex AND Project
Соотечественники
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
2,152 / 3946 (136) ++++++++++
Регистрация: 13.03.2002
Адрес: Hüfingen
Цитата:
Сообщение от EVGL Посмотреть сообщение
Подобные рассуждения не в первый раз появляются на форуме, однако "дай денег - тогда сообщу" - это что-то новое.

На проекте, как котором я сейчас работаю, все решено рациональнее. У клиента есть договор на Premier MS Support. Поскольку платится подписка, есть стимул на потребление оплаченных услуг, и за правку багов в вашем стиле клиент вообще не платит, а сразу запрашивает поддержку и терпеливо ждет хотфиксов. Не факт, что такая процедура дешевле и быстрее, но как минимум sustainable: приложение не зарастает доморощенными исправлениями.
Женя, я конечно очень рад за тебя и твоего клиента, но уверен ли ты что ты и в дальнейшем сможешь работать именно с такими клиентами ? (Которые готовы ждать исправления и у которых тестируются критические бизнес-процессы перед запуском, а не во время.)
Просто я тоже довольно долго работал (и работаю) с немецкими клиентами. Так вот там всякие мелкие и несрочные баги отлично репортятся в микрософт для исправления. Но если вылезает какая-то серьезная и срочная бага в критическом бизнес-процессе (а такое тоже случается, не смотря на тестирование), то бага правится моими силами (по крайней мере в DAX2009 и DAX2012 так было), а потом репортится в MS. Репортится бага, наверное, процентах в 70 случаев. В оставшихся 30 консультант не может внятно объяснить условия воспроизведения баги, а я слишком занят борьбой с пожарами...
Старый 02.08.2017, 09:09   #7  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
3,991 / 2133 (79) +++++++++
Регистрация: 16.01.2004
Адрес: Москва
:)
Цитата:
Сообщение от Logger Посмотреть сообщение
Конечно нет.
В гробу я их видел
... как и читать статьи дальше заголовков

Если прочитать статью а не только заголовок то выяснится, что в случае azure мы имеем дело тоже с уязвимостями.

Цитата:

Я про исправление обычных багов аксапты.
Мне лично известен только один случай чтобы кто-то платил за все вообще баги - это Дональд Кнут и TeX https://en.m.wikipedia.org/wiki/TeX

Да и тот прекратил а потом умер
За это сообщение автора поблагодарили: mazzy (2).
Старый 02.08.2017, 09:38   #8  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
В комментариях участников проскальзывает плохо скрываемое раздражение: "Ишь чего захотел, деньги ему плати за баги." Ересь какую-то высказал, да ?

А, собственно, в чем криминал ? И в чем принципиальная разница исправления секьюриты багов и обычных ?

Понятно, что все это вряд ли будут делать. Но ваше раздражение непонятно.

Собственно, данная программа показала свою эффективность. Прежде всего самим корпорациям это намного выгоднее чем организовывать масштабную программу по поиску и исправлению багов. Проще и намного дешевле немного простимулировать сообщество разработчиков, чем самим раздувать штаты программистов и тестировщиков.

Все это конечно действенно при наличии желания сделать продукт качественнее. А так сейчас пока каждый крутится в своей песочнице. На каждом проекте правятся примерно одни и те же баги, никогда не переходящие в сам MS. И кочуют они от версии к версии и никому до этого дела нет. В целом, это удорожает вхождение системы на рынок.
Старый 02.08.2017, 09:51   #9  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
3,991 / 2133 (79) +++++++++
Регистрация: 16.01.2004
Адрес: Москва
- я думаю, тут вопрос в соотношении цены и ущерба от баги. Где-то у Спольски был пост про то что иногда лучше сделать фичу чем исправить багу.

- по поводу репорта багов, мне нравилось предложение fed по введению репутации для тех кто репортит баги и пропуска первой линии поддержки для этих людей
За это сообщение автора поблагодарили: Logger (3).
Старый 02.08.2017, 10:02   #10  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Цитата:
Сообщение от belugin Посмотреть сообщение
- по поводу репорта багов, мне нравилось предложение fed по введению репутации для тех кто репортит баги и пропуска первой линии поддержки для этих людей
Да, идея классная.
Собственно, я саму идею по оплате исправления багов высказал как способ снять барьер для прохождения улучшений системы. Ведь бредовая ситуация же, когда одни и те же баги правятся на разных проектах разными людьми и годами не исправляются в MS. Интересно было бы подсчитать оверхед для системы в целом. Насколько удорожается владение.

Последний раз редактировалось Logger; 02.08.2017 в 10:58.
Старый 02.08.2017, 10:24   #11  
trud is offline
trud
Участник
 
455 / 324 (11) ++++++
Регистрация: 07.06.2003
Цитата:
Сообщение от Logger Посмотреть сообщение
А, собственно, в чем криминал ? И в чем принципиальная разница исправления секьюриты багов и обычных ?
Прежде всего самим корпорациям это намного выгоднее чем организовывать масштабную программу по поиску и исправлению багов.
Ну отличие хотя бы в том что я думаю у МС есть лог багов, не до конца решенный. и я думаю он огромен и становится только больше. т.е. их не надо искать, их наоборот слишком много
Старый 02.08.2017, 10:28   #12  
Vals is offline
Vals
Аманд
Аватар для Vals
Компания АМАНД
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2009
 
1,682 / 441 (18) +++++++
Регистрация: 27.02.2002
Адрес: Pass partout, Москва
дядьки, не спорьте
За поиск уязвимостей в безопасности (вручную или Penetration Test) уже давно платят деньги, причём хорошие. Есть биржи куда можно выкладывать их получать деньги

Причём есть градация ценника в зависимости от серьёзности уязвимости
Старый 02.08.2017, 10:34   #13  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Цитата:
Сообщение от trud Посмотреть сообщение
... и я думаю он огромен и становится только больше. т.е. их не надо искать, их наоборот слишком много
Категорически не согласен.
Багов всегда будет много. Но важность у всех разная.

Вы (или они) неявно предполагаете что если багов и так много то и наплевать на новые. Зажмуримся, не будем принимать новые проблемы, отгородимся множеством препятствий от вала новых запросов, сосредоточившись на старых... Они при этом исчезнут ? Проблемы сами пропадут? Нет !

Надо их активно искать и ранжировать по опасности и править самые важные.

Но проблема еще в чем? Раньше когда был оверлейинг, сам клиент или консалтер мог что-то пофиксить и все. И MS об этом никогда не узнавал. Некоторые баги были уже всем известны, не правились и кочевали из версию в версию. Теперь править их самим станет намного сложнее. Будет больше вал запросов к MS. Разработка стала существенно дороже. Возможно станет больше клиентов на Premier MS Support. Будет вал срочных запросов. Как организовать их нормальное исправление ?
Признать все новые баги фичами ?
Или свалить на другую систему где с этим все нормально.
Так что у нас с продажам D365 ?

Последний раз редактировалось Logger; 02.08.2017 в 10:44.
Старый 02.08.2017, 10:38   #14  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Цитата:
Сообщение от Vals Посмотреть сообщение
дядьки, не спорьте
За поиск уязвимостей в безопасности (вручную или Penetration Test) уже давно платят деньги, причём хорошие. Есть биржи куда можно выкладывать их получать деньги
Да дело не в деньгах. Баги надо править.

Понятно что не захотят платить за несекьюрити баги. Тут не то что MS - само сообщество специалистов идею в штыки воспринимает, как ересь
Старый 02.08.2017, 10:54   #15  
trud is offline
trud
Участник
 
455 / 324 (11) ++++++
Регистрация: 07.06.2003
Цитата:
Сообщение от Logger Посмотреть сообщение
Возможно станет больше клиентов на Premier MS Support. Будет вал срочных запросов.
Кстати после закрытия оверлеинга баги требующие изменения protected-public методов или их параметров не сможет править даже MS., так как они должны гарантировать обратную совместимость с экстеншенами.

думаю просто будут закрывать с текстом - невозможно сделать без брейкабле чанжес, после этого вал спадет. и разработчики экстеншенов при этом отрапартуют о статистике уменьшения багов, так что всем хорошо

Последний раз редактировалось trud; 02.08.2017 в 10:58.
За это сообщение автора поблагодарили: Logger (1).
Старый 02.08.2017, 10:54   #16  
EVGL is offline
EVGL
Moderator
Соотечественники
Лучший по профессии 2015
Лучший по профессии 2014
 
3,519 / 1996 (74) ++++++++
Регистрация: 09.07.2002
Адрес: Parndorf, AT
Цитата:
Сообщение от fed Посмотреть сообщение
Но если вылезает какая-то серьезная и срочная бага в критическом бизнес-процессе (а такое тоже случается, не смотря на тестирование), то бага правится моими силами (по крайней мере в DAX2009 и DAX2012 так было), а потом репортится в MS. Репортится бага, наверное, процентах в 70 случаев. В оставшихся 30 консультант не может внятно объяснить условия воспроизведения баги, а я слишком занят борьбой с пожарами...
Тоже знакомо, конечно, на более бюджетных проектах. Только это все сойдет на нет, когда очередную модель "залочат". Вот, к примеру, обнаружили проблему в workflow escalation (модель Application Foundation) и выбор уже не такой широкий:
  1. перестать использовать функциональность
  2. ждать хотфикса.
Старый 03.08.2017, 08:09   #17  
Vadik is offline
Vadik
Модератор
Аватар для Vadik
Лучший по профессии 2015
 
3,296 / 1320 (51) ++++++++
Регистрация: 18.11.2002
Адрес: гражданин Москвы
Цитата:
Сообщение от Logger Посмотреть сообщение
Собственно, я саму идею по оплате исправления багов высказал как способ снять барьер для прохождения улучшений системы
Можно про барьер чуть более развернуто? Ваши годные тикеты не принимают, закрывают без решения проблемы ? Что лично Вам мешает делать продукт лучше уже сейчас (ну, кроме того что лично Вам за это не платят) ? Я например стараюсь все найденные косяки репортить, даже те что могу починить без оверлееринга. Вернее, где могу - чиню, создаю тикет и помечаю его номером свои изменения чтобы их откатить по выходу хотфикса. Причем, добиться исправления в стандарте в моих же интересах - меньше конфликтов резолвить при обновлении. Надеюсь, мне за это воздастся, если не на параллельных / следующих проектах, то хотя бы в следующей жизни
__________________
-ТСЯ или -ТЬСЯ ?

Последний раз редактировалось Vadik; 03.08.2017 в 08:19.
За это сообщение автора поблагодарили: EVGL (1), apanko (3).
Старый 03.08.2017, 09:10   #18  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Цитата:
Сообщение от Vadik Посмотреть сообщение
Что лично Вам мешает делать продукт лучше уже сейчас (ну, кроме того что лично Вам за это не платят) ?
Я написал же. После того как все исправлено - нет мотивации тратить время на регистрацию и доказывание что я не верблюд. Для меня это потеря времени (денег). Чистый убыток.
Старый 03.08.2017, 09:43   #19  
trud is offline
trud
Участник
 
455 / 324 (11) ++++++
Регистрация: 07.06.2003
На самом деле было бы куда лучше перевести все на Open Source. (как делают например с .net core). причем сейчас технически это по сути просто сделать, все в файлах.
тогда бы можно было не только зарепортить, но и сразу фикс приложить
и была бы мотивация - так как они отмечают там особо отличившихся и можно было бы это указывать в резюме
Старый 03.08.2017, 09:48   #20  
Vadik is offline
Vadik
Модератор
Аватар для Vadik
Лучший по профессии 2015
 
3,296 / 1320 (51) ++++++++
Регистрация: 18.11.2002
Адрес: гражданин Москвы
Цитата:
Сообщение от trud Посмотреть сообщение
На самом деле было бы куда лучше перевести все на Open Source
Или устроиться в product team. Там и замотивируют как надо, и make Axapta great again, и монетизация опять же
__________________
-ТСЯ или -ТЬСЯ ?
 

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 22:25.
Powered by vBulletin® v3.8.5. Перевод: zCarot
Контактная информация, Реклама.