Компания Mozilla на этой неделе привлекла к себе не слишком доброе внимание
после того, как бывший доброволец раскритиковал медленное реагирование группы на
сообщения о багах. Все это происходит на волне обсуждения инициативы "быстрого
выпуска", благодаря которому группа пообещала выпускать обновленную версию
своего браузера Firefox каждые 16 недель. Решение Mozilla кардинально ускорить
свой цикл разработки встретило достаточное сопротивление, чтобы заставить
председателя группы Митчел
Бейкер занять оборонительную позицию.
Кроме того, критика Mozilla на ее обращение с уязвимостями обрушилась в тот
момент, когда Firefox продолжает терять рыночную долю и авторитет в браузерном
пространстве. Например, недавний
доклад NSS Labs по
браузерной безопасности показал, что Firefox 4 отловил лишь 7.6% вредоносных
угроз, разработанных при помощи социальной инженерии. Этот показатель намного
меньше, чем у Internet Explorer 9, который перехватил 99.2%, а также чем у
Chrome, которому удалось обнаружить 13.2% угроз. Результаты Firefox были на
11.4% ниже, чем 19% уровень защиты, оказанный на тесте третьего квартала 2010
года, что свидетельствует об общем снижении защиты Firefox.
На этот раз автором скандальной публикации, поднимающей недостатки работы
Mozilla с багами, был Тайлер Даунер, который ушел из добровольцев Mozilla из-за
разочарования. В
сообщении от 27 августа он написал, что несмотря на то, что он поддерживал
инициативу быстрого выпуска, он был разочарован ее влиянием на команду людей,
ответственных за обработку и подтверждение поставляемых конечными пользователями
сообщений о багах.
Вот его аргумент (который он разъяснил в последующем сообщении): У группы не
хватает времени или ресурсов для рассмотрения всех представляемых багов и
соответствия темпу выпуска Firefox. "Со старой моделью выпуска – новая версия
раз в год – у поддержки было больше времени, чтобы рассмотреть огромный массив
багов, выявить слабые места и проблемы, существовала достаточно большая
возможность, что большинство багов будет устранено хотя бы потому, что на нашей
стороне было время.... Хотя бы в теории. Даже этот процесс потерпел неудачу", -
написал он.
Тайлер не вдавался в подробности того, как этот процесс провалился, но
Firefox занял 5 позицию в списке Bit9 из 10 самых уязвимых программных продуктов
2010 года, после Safari (номер 2) и Chrome (номер 1).
Чтобы проиллюстрировать трудности, с которыми сталкивается команда
реагирования на уязвимости в связи с быстрыми темпами выпуска, Тайлер сообщил,
что на данный момент у Firefox имеется 6 000 неподтвержденных ошибок (что,
однако, не стоит путать с 6 000 реальными уязвимостями). "В этих багах имеются
повторы, баги которые уже были устранены; баги, возникшие из-за ошибок
пользователей; баги, вызванные сторонним ПО, и так далее. Я просто хотел заявить
о необходимости проделывать лучшую работу по рассмотрению багов. Не проходя по
списку, трудно определить, какие баги являются действующими, а какие нет", -
написал он.
Тайлер предоставил Mozilla некоторые рекомендации по лучшей обработке
сообщений о багах, включая необходимость большей ответственности и вежливости к
пользователям, которые предоставляют их, а также установление лучшей координации
в пределах сообщества Mozilla, чтобы изучать сообщения о багах своевременно,
эффективно и скоординировано, возможно, с применением программных средств для
лучшего управления отчетами об ошибках.
Тайлер все-таки не совсем пессимистично настроен относительно судьбы Mozilla
Firefox. "Ситуация с реагированием не совсем безнадежна. Я был на переговорах в
последние несколько дней и вижу хорошую возможность улучшения у Mozilla ....
Готовится новый инструмент 'Tell Us More', который будет претворять в жизнь
некоторые из желаемых мной изменений", - написал он.
