• [^] # Re: GPL ?

    Posté par . En réponse à la dépêche Nmap 4 : nouvelle version majeure et interview de son principal auteur. Évalué à 10.

    Bien sûr qu'on peut donner l'accès au dépôt en lecture seule, mais une personne sensible à la sécurité connaît la différence entre "donner l'accès en lecture seule" et "avoir l'assurance que l'accès sera en lecture seule" : il faut prendre en compte de possibles scénarios d'attaque conduisant à une élévation des droits d'accès ou au détournement du serveur de sources.

    En donnant l'accès en lecture seule à tout le monde, donc à une multitude d'attaquants potentiels, on se rend dépendant d'une éventuelle faille du système de gestion de versions. En bloquant l'accès public, on s'affanchit de cette faille.

    Comme toujours, c'est une équilibre entre les défauts et avantages du dépôt en lecture seule : sacrifier une des défenses du code source est-il justifié par la mise à disposition d'un code qui de plus par nature risque d'être moins stable ? AMA, non.