• [^] # Re: 3D Secure

    Posté par . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 2.

    Je dis ca sans animosite aucune, mais que je vois la qualite de relecture du code d'openSSL dans debian, tu me permettras de mettre en doute la qualite de relecture de la "communaute".

    C'est une présentation très partiale. Il y a eu erreur humaine dans un patch, ce n'est pas une question de relecture/audit. On peut opposer à ton exemple la qualité de relecture du code d'OpenBSD par les gens d'OpenBSD, qui a permis de trouver bon nombre de failles par simple relecture/audit avant qu'elles ne soient connues ou exploitées. En bref, ce n'est pas la panacée et il ne faut pas oublier effectivement que la qualité des projets libres se concentre surtout dans les projets principaux, mais il ne faut pas jeter le "given enough eyes all bugs are shallow" si facilement.