On 08/12/2023 15:37, io wrote:
>> One dokładnie wyjasniają w prosty sposób ja bardzo *niemożliwe* jest
>> aby lewy kod dostał się do repozytorium. Nie potrzebujesz nic innego,
>> jak tylko prawidłowe metody pracy z kodem, aby wykluczyć takie numery
>> na poziomie świadomej manipulacji, wstrzyknięcia kodu przez hackerów itd.
> Ale wymaga się standardów a nie "współczesnych metod kontroli jakości"

To jedno i to samo.

Róznica głównie w tym, że standardy mają dużo dodatkowych detali, które
tylko zaciemniają koncept przejrzystości kodu, ale czerpią całymi
garściami z tych współczesnych metod.

> więc po co się rozpędzać. Być może ich nawet nie spełniali, ale też
> kiedy te pociągi były robione, jak odbiorca nie chciał zgodnie ze
> standardem to nie dostał.

Pojmijając kwestie prawne, jestem najzwyczajniej ciekaw, jako
programista właśnie, jak to wygląda od kuchni. Opowieści ludzi, którzy
przeżyli gułagi typu embedded, są straszne.

>> Czyli znowu: ktoś był na tyle głupi, co w świecie embedeed jest normą,
>> że nie wprowadził dobrych metod pisania kodu z całą otoczką code
>> review, coverage, statycznej analizy, podpisywania plików źródłowych i
>> wynikowych i masy innych utrzymujących jakośc i przy okazji
>> eliminujących możliwośc włożenia lewego kodu.
> Mógł weryfikować, ale już zabezpieczenia przed lewym kodem nie zrobił.

Trodno to nazwać zabezpieczeniami. To normalne praktyki w normalnej
firmie programistycznej, ktore *przypadkowo* są również zabezpieczeniem
przed "wstrzykiwaniem" podejrzanwgo kodu. To darmowe ciastko.

>> Najzwyczajniej, jak to bywa w dziadofirmach, "repozytorium" to wspólny
>> katalog na \\dupa\build z kodem zmienianym w czasie rzeczywistym,
>> który kierownik raz dziennie w pocie czoła kompiluje zmawiając
>> jednoczesnie modlitwę.
> Przestań, firmy jednak są dalej. Nie wiem jak dokładnie Newag, ale nie
> mam powodu podejrzewać, że nie.

No, ale jeśli to jednak był:
1) spisek kierownika
2) atak hackerów

To dokładnie tak to wygląda. Nie kontrolują co kompilują i instalują w
pociągach.

A jeśli zrobiono to "gdzieś po drodze", to nie kontroluja jaki kod jest
wykonywany na maszynie.

Każda ewentualnośc świadczy o daleko idącym dziadostwie.

> Na razie nie wiadomo czy to aby na pewno Newag wrzucił. Sam przecież w
> to nie bardzo wierzysz.

Ale szacuję, że to najbardziej prawdopodobne. W sensie: że nie
kontrolowali kodu i jakaś grupa miała pojęcie.

> Ja bym uwierzył nie tyle w to, że to zrobił, ale
> że to mogłoby mieć sens w produktach powszechnego użytku. Gwarantuje 2
> lata to czemu właściwie miałby działać dłużej.

Różnica tutaj jest taka, że skoro to mogło zatrzymać pociąg, to czy aby
na pewno nie potrafiło go uruchomić, albo wyłączyć hamulce, albo
zablokować panel kontrolny albo...

Skala problemu inna, niż podobna funkcjonalnośc w pralce.