AXForum  
Вернуться   AXForum > Прочие обсуждения > Курилка
DAX
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск Все разделы прочитаны

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 01.08.2017, 13:10   #1  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Четверть миллиона за «жука»: Microsoft начинает активную борьбу с багами
Вторая половина июля оказалась щедрой на новости от Microsoft о борьбе с багами. 21 июля стало известно о запуске облачной платформы для поиска уязвимостей, а 26 июля представители компании объявили о новом этапе поощрительной программы — корпорация готова выплачивать до $250 000 за найденные баги.
...
Подробнее см.
https://habrahabr.ru/company/1cloud/blog/334552/

Интересно, для ERP такую программу кто-нить собирается делать ?

Что имеется в виду:
Если я нашел багу, например, в аксапте. Разобрался как ее решить, написал сам исправление или придумал обходной путь, то у меня нет мотивации регистрировать все это в поддержке. Я трачу свое время (которое суть деньги) на продирание сквозь бюрократические заборы, которые понастроили для защиты от энтузиастов. Т.е. делать продукт лучше у меня никакой мотивации нет - скорее есть сильная демотивация.

Если предусмотреть подобную программу для ERP, то можно сделать продукт качественнее.

Последний раз редактировалось Logger; 01.08.2017 в 13:15.
Старый 01.08.2017, 14:09   #2  
Player1 is offline
Player1
Участник
 
250 / 114 (4) +++++
Регистрация: 21.04.2008
Читаем п.1 кто не вправе участвовать
Цитата:
WHO IS NOT ELIGIBLE TO PARTICIPATE?
You are a resident of any countries under U.S. sanctions (see link for current sanctions list posted by the United States Treasury Department);
You are currently an employee of Microsoft Corporation or a Microsoft subsidiary, or an immediate family (parent, sibling, spouse, or child) or household member of such an employee;
Within the six months prior to your submission you were an employee of Microsoft Corporation or a Microsoft subsidiary;
You currently (or within six months prior to your submission) perform services for Microsoft or a Microsoft subsidiary in an external staff capacity that requires access to the Microsoft Corporate Network, such as agency temporary worker, vendor employee, business guest, or contractor; or
You are involved in any part of the administration and/or execution of this program.
Старый 01.08.2017, 21:40   #3  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
3,991 / 2133 (79) +++++++++
Регистрация: 16.01.2004
Адрес: Москва
Цитата:
Сообщение от Logger Посмотреть сообщение
Интересно, для ERP такую программу кто-нить собирается делать ?

Что имеется в виду:
Если я нашел багу, например, в аксапте.
Обратите внимание, что bug bounty обычно относится к уязвимостям. Во времена оные мне достаточно было написать про уязвимость в блоге чтобы со мной связались.

Вы тоже имеете их ввиду а не другие баги?
Старый 01.08.2017, 23:04   #4  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Конечно нет.
В гробу я их видел

Я про исправление обычных багов аксапты.
Старый 01.08.2017, 23:53   #5  
EVGL is offline
EVGL
Moderator
Соотечественники
Лучший по профессии 2015
Лучший по профессии 2014
 
3,518 / 1996 (74) ++++++++
Регистрация: 09.07.2002
Адрес: Parndorf, AT
Цитата:
Сообщение от Logger Посмотреть сообщение
Что имеется в виду:
Если я нашел багу, например, в аксапте. Разобрался как ее решить, написал сам исправление или придумал обходной путь, то у меня нет мотивации регистрировать все это в поддержке. Я трачу свое время (которое суть деньги) на продирание сквозь бюрократические заборы, которые понастроили для защиты от энтузиастов. Т.е. делать продукт лучше у меня никакой мотивации нет - скорее есть сильная демотивация.

Если предусмотреть подобную программу для ERP, то можно сделать продукт качественнее.
Подобные рассуждения не в первый раз появляются на форуме, однако "дай денег - тогда сообщу" - это что-то новое.

На проекте, как котором я сейчас работаю, все решено рациональнее. У клиента есть договор на Premier MS Support. Поскольку платится подписка, есть стимул на потребление оплаченных услуг, и за правку багов в вашем стиле клиент вообще не платит, а сразу запрашивает поддержку и терпеливо ждет хотфиксов. Не факт, что такая процедура дешевле и быстрее, но как минимум sustainable: приложение не зарастает доморощенными исправлениями.
Старый 02.08.2017, 08:32   #6  
online
fed
Moderator
Ex AND Project
Соотечественники
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
2,151 / 3946 (136) ++++++++++
Регистрация: 13.03.2002
Адрес: Hüfingen
Цитата:
Сообщение от EVGL Посмотреть сообщение
Подобные рассуждения не в первый раз появляются на форуме, однако "дай денег - тогда сообщу" - это что-то новое.

На проекте, как котором я сейчас работаю, все решено рациональнее. У клиента есть договор на Premier MS Support. Поскольку платится подписка, есть стимул на потребление оплаченных услуг, и за правку багов в вашем стиле клиент вообще не платит, а сразу запрашивает поддержку и терпеливо ждет хотфиксов. Не факт, что такая процедура дешевле и быстрее, но как минимум sustainable: приложение не зарастает доморощенными исправлениями.
Женя, я конечно очень рад за тебя и твоего клиента, но уверен ли ты что ты и в дальнейшем сможешь работать именно с такими клиентами ? (Которые готовы ждать исправления и у которых тестируются критические бизнес-процессы перед запуском, а не во время.)
Просто я тоже довольно долго работал (и работаю) с немецкими клиентами. Так вот там всякие мелкие и несрочные баги отлично репортятся в микрософт для исправления. Но если вылезает какая-то серьезная и срочная бага в критическом бизнес-процессе (а такое тоже случается, не смотря на тестирование), то бага правится моими силами (по крайней мере в DAX2009 и DAX2012 так было), а потом репортится в MS. Репортится бага, наверное, процентах в 70 случаев. В оставшихся 30 консультант не может внятно объяснить условия воспроизведения баги, а я слишком занят борьбой с пожарами...
Старый 02.08.2017, 09:09   #7  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
3,991 / 2133 (79) +++++++++
Регистрация: 16.01.2004
Адрес: Москва
:)
Цитата:
Сообщение от Logger Посмотреть сообщение
Конечно нет.
В гробу я их видел
... как и читать статьи дальше заголовков

Если прочитать статью а не только заголовок то выяснится, что в случае azure мы имеем дело тоже с уязвимостями.

Цитата:

Я про исправление обычных багов аксапты.
Мне лично известен только один случай чтобы кто-то платил за все вообще баги - это Дональд Кнут и TeX https://en.m.wikipedia.org/wiki/TeX

Да и тот прекратил а потом умер
За это сообщение автора поблагодарили: mazzy (2).
Старый 02.08.2017, 09:38   #8  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
В комментариях участников проскальзывает плохо скрываемое раздражение: "Ишь чего захотел, деньги ему плати за баги." Ересь какую-то высказал, да ?

А, собственно, в чем криминал ? И в чем принципиальная разница исправления секьюриты багов и обычных ?

Понятно, что все это вряд ли будут делать. Но ваше раздражение непонятно.

Собственно, данная программа показала свою эффективность. Прежде всего самим корпорациям это намного выгоднее чем организовывать масштабную программу по поиску и исправлению багов. Проще и намного дешевле немного простимулировать сообщество разработчиков, чем самим раздувать штаты программистов и тестировщиков.

Все это конечно действенно при наличии желания сделать продукт качественнее. А так сейчас пока каждый крутится в своей песочнице. На каждом проекте правятся примерно одни и те же баги, никогда не переходящие в сам MS. И кочуют они от версии к версии и никому до этого дела нет. В целом, это удорожает вхождение системы на рынок.
Старый 02.08.2017, 09:51   #9  
belugin is offline
belugin
Участник
Аватар для belugin
Сотрудники Microsoft Dynamics
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии 2011
Лучший по профессии 2009
 
3,991 / 2133 (79) +++++++++
Регистрация: 16.01.2004
Адрес: Москва
- я думаю, тут вопрос в соотношении цены и ущерба от баги. Где-то у Спольски был пост про то что иногда лучше сделать фичу чем исправить багу.

- по поводу репорта багов, мне нравилось предложение fed по введению репутации для тех кто репортит баги и пропуска первой линии поддержки для этих людей
За это сообщение автора поблагодарили: Logger (3).
Старый 02.08.2017, 10:02   #10  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Цитата:
Сообщение от belugin Посмотреть сообщение
- по поводу репорта багов, мне нравилось предложение fed по введению репутации для тех кто репортит баги и пропуска первой линии поддержки для этих людей
Да, идея классная.
Собственно, я саму идею по оплате исправления багов высказал как способ снять барьер для прохождения улучшений системы. Ведь бредовая ситуация же, когда одни и те же баги правятся на разных проектах разными людьми и годами не исправляются в MS. Интересно было бы подсчитать оверхед для системы в целом. Насколько удорожается владение.

Последний раз редактировалось Logger; 02.08.2017 в 10:58.
Старый 02.08.2017, 10:24   #11  
trud is offline
trud
Участник
 
455 / 324 (11) ++++++
Регистрация: 07.06.2003
Цитата:
Сообщение от Logger Посмотреть сообщение
А, собственно, в чем криминал ? И в чем принципиальная разница исправления секьюриты багов и обычных ?
Прежде всего самим корпорациям это намного выгоднее чем организовывать масштабную программу по поиску и исправлению багов.
Ну отличие хотя бы в том что я думаю у МС есть лог багов, не до конца решенный. и я думаю он огромен и становится только больше. т.е. их не надо искать, их наоборот слишком много
Старый 02.08.2017, 10:28   #12  
Vals is offline
Vals
Аманд
Аватар для Vals
Компания АМАНД
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2009
 
1,682 / 441 (18) +++++++
Регистрация: 27.02.2002
Адрес: Pass partout, Москва
дядьки, не спорьте
За поиск уязвимостей в безопасности (вручную или Penetration Test) уже давно платят деньги, причём хорошие. Есть биржи куда можно выкладывать их получать деньги

Причём есть градация ценника в зависимости от серьёзности уязвимости
Старый 02.08.2017, 10:34   #13  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Цитата:
Сообщение от trud Посмотреть сообщение
... и я думаю он огромен и становится только больше. т.е. их не надо искать, их наоборот слишком много
Категорически не согласен.
Багов всегда будет много. Но важность у всех разная.

Вы (или они) неявно предполагаете что если багов и так много то и наплевать на новые. Зажмуримся, не будем принимать новые проблемы, отгородимся множеством препятствий от вала новых запросов, сосредоточившись на старых... Они при этом исчезнут ? Проблемы сами пропадут? Нет !

Надо их активно искать и ранжировать по опасности и править самые важные.

Но проблема еще в чем? Раньше когда был оверлейинг, сам клиент или консалтер мог что-то пофиксить и все. И MS об этом никогда не узнавал. Некоторые баги были уже всем известны, не правились и кочевали из версию в версию. Теперь править их самим станет намного сложнее. Будет больше вал запросов к MS. Разработка стала существенно дороже. Возможно станет больше клиентов на Premier MS Support. Будет вал срочных запросов. Как организовать их нормальное исправление ?
Признать все новые баги фичами ?
Или свалить на другую систему где с этим все нормально.
Так что у нас с продажам D365 ?

Последний раз редактировалось Logger; 02.08.2017 в 10:44.
Старый 02.08.2017, 10:38   #14  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Цитата:
Сообщение от Vals Посмотреть сообщение
дядьки, не спорьте
За поиск уязвимостей в безопасности (вручную или Penetration Test) уже давно платят деньги, причём хорошие. Есть биржи куда можно выкладывать их получать деньги
Да дело не в деньгах. Баги надо править.

Понятно что не захотят платить за несекьюрити баги. Тут не то что MS - само сообщество специалистов идею в штыки воспринимает, как ересь
Старый 02.08.2017, 10:54   #15  
trud is offline
trud
Участник
 
455 / 324 (11) ++++++
Регистрация: 07.06.2003
Цитата:
Сообщение от Logger Посмотреть сообщение
Возможно станет больше клиентов на Premier MS Support. Будет вал срочных запросов.
Кстати после закрытия оверлеинга баги требующие изменения protected-public методов или их параметров не сможет править даже MS., так как они должны гарантировать обратную совместимость с экстеншенами.

думаю просто будут закрывать с текстом - невозможно сделать без брейкабле чанжес, после этого вал спадет. и разработчики экстеншенов при этом отрапартуют о статистике уменьшения багов, так что всем хорошо

Последний раз редактировалось trud; 02.08.2017 в 10:58.
За это сообщение автора поблагодарили: Logger (1).
Старый 02.08.2017, 10:54   #16  
EVGL is offline
EVGL
Moderator
Соотечественники
Лучший по профессии 2015
Лучший по профессии 2014
 
3,518 / 1996 (74) ++++++++
Регистрация: 09.07.2002
Адрес: Parndorf, AT
Цитата:
Сообщение от fed Посмотреть сообщение
Но если вылезает какая-то серьезная и срочная бага в критическом бизнес-процессе (а такое тоже случается, не смотря на тестирование), то бага правится моими силами (по крайней мере в DAX2009 и DAX2012 так было), а потом репортится в MS. Репортится бага, наверное, процентах в 70 случаев. В оставшихся 30 консультант не может внятно объяснить условия воспроизведения баги, а я слишком занят борьбой с пожарами...
Тоже знакомо, конечно, на более бюджетных проектах. Только это все сойдет на нет, когда очередную модель "залочат". Вот, к примеру, обнаружили проблему в workflow escalation (модель Application Foundation) и выбор уже не такой широкий:
  1. перестать использовать функциональность
  2. ждать хотфикса.
Старый 03.08.2017, 08:09   #17  
Vadik is offline
Vadik
Модератор
Аватар для Vadik
Лучший по профессии 2015
 
3,296 / 1320 (51) ++++++++
Регистрация: 18.11.2002
Адрес: гражданин Москвы
Цитата:
Сообщение от Logger Посмотреть сообщение
Собственно, я саму идею по оплате исправления багов высказал как способ снять барьер для прохождения улучшений системы
Можно про барьер чуть более развернуто? Ваши годные тикеты не принимают, закрывают без решения проблемы ? Что лично Вам мешает делать продукт лучше уже сейчас (ну, кроме того что лично Вам за это не платят) ? Я например стараюсь все найденные косяки репортить, даже те что могу починить без оверлееринга. Вернее, где могу - чиню, создаю тикет и помечаю его номером свои изменения чтобы их откатить по выходу хотфикса. Причем, добиться исправления в стандарте в моих же интересах - меньше конфликтов резолвить при обновлении. Надеюсь, мне за это воздастся, если не на параллельных / следующих проектах, то хотя бы в следующей жизни
__________________
-ТСЯ или -ТЬСЯ ?

Последний раз редактировалось Vadik; 03.08.2017 в 08:19.
За это сообщение автора поблагодарили: EVGL (1), apanko (3).
Старый 03.08.2017, 09:10   #18  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
2,907 / 1538 (57) ++++++++
Регистрация: 12.10.2004
Цитата:
Сообщение от Vadik Посмотреть сообщение
Что лично Вам мешает делать продукт лучше уже сейчас (ну, кроме того что лично Вам за это не платят) ?
Я написал же. После того как все исправлено - нет мотивации тратить время на регистрацию и доказывание что я не верблюд. Для меня это потеря времени (денег). Чистый убыток.
Старый 03.08.2017, 09:43   #19  
trud is offline
trud
Участник
 
455 / 324 (11) ++++++
Регистрация: 07.06.2003
На самом деле было бы куда лучше перевести все на Open Source. (как делают например с .net core). причем сейчас технически это по сути просто сделать, все в файлах.
тогда бы можно было не только зарепортить, но и сразу фикс приложить
и была бы мотивация - так как они отмечают там особо отличившихся и можно было бы это указывать в резюме
Старый 03.08.2017, 09:48   #20  
Vadik is offline
Vadik
Модератор
Аватар для Vadik
Лучший по профессии 2015
 
3,296 / 1320 (51) ++++++++
Регистрация: 18.11.2002
Адрес: гражданин Москвы
Цитата:
Сообщение от trud Посмотреть сообщение
На самом деле было бы куда лучше перевести все на Open Source
Или устроиться в product team. Там и замотивируют как надо, и make Axapta great again, и монетизация опять же
__________________
-ТСЯ или -ТЬСЯ ?
 

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 19:25.
Powered by vBulletin® v3.8.5. Перевод: zCarot
Контактная информация, Реклама.