Che cosa significa il termine day-one-bug?

12

Mi sono imbattuto recentemente in questo termine in una catena di posta. Google mi dice che esiste un termine bug zero-day e che Microsoft e Adobe sono i leader :)

Esiste un termine come bug del primo giorno ? Cosa potrebbe significare?

terminology bug

— Lazer
fonte

2

Importa davvero dato che nessuno sembra usarlo?

— Mcch

1

Significa che il tuo "parente morto" in Ghana con la fortuna che hanno sottratto ai loro inganno al computer ... non esiste davvero ... So che probabilmente ti scuote fino al midollo.

— SoylentGray,

30

Un bug del primo giorno è un difetto che non è una regressione . Il difetto era presente sin dal primo giorno quando la funzionalità è stata implementata. Viene utilizzato per sostenere che un difetto ha una bassa priorità, poiché è stato spedito nelle versioni precedenti senza molti reclami da parte dei clienti.

citazioni:

Neohapsis> Archivi> Aggiornamenti del prodotto Compaq> 2001-q4
data - Nov 2001 o precedente

Questo bug del primo giorno era inattivo fino all'ultima versione di PATHWORKS. Con una versione precedente di PATHWORKS, le condizioni erano tali che la routine non veniva mai inserita contemporaneamente. Tuttavia, la nuova versione ha un diverso set di chiamate in PWIP e il bug è ora esposto ...
Note di rilascio multipiattaforma per Cisco IOS versione 12.2SR: avvertenze per SRB 12.2 (33) ...
data - maggio 2008?

CSCsl27236 ... è un bug del primo giorno che è appena emerso. Il cliente l'ha trovato in condizioni di forte stress ...
[security-dev 01487]: Problemi OCSP in JDK6 -
Data archivio posta OpenJDK - Gennaio 2010

Changeset: 95e9083cf4a7 ... Riepilogo: Questo errore di un giorno è causato dalla mancanza di barriere di memoria in vari percorsi Parker :: park () che possono comportare la perdita di riattivazioni e blocchi ...

— Brian Edwards
fonte

3

[citazione necessaria]

— Piskvor ha lasciato l'edificio il

Citazioni di @Piskvor fornite, vedi risposta versione aggiornata

— moscerino

2

Afferma Wikipedia

Un attacco "zero day" si verifica prima o prima del giorno "zeroth" della consapevolezza degli sviluppatori

Secondo questa definizione, un giorno un bug sarebbe quello in cui viene sviluppato un exploit il secondo giorno di consapevolezza degli sviluppatori?

Tuttavia, da Infoworld.com

I bug zero-day sono vulnerabilità che non sono state corrette o rese pubbliche.

Citano inoltre Justine Aitel, CEO di Immunity come dichiarato

"Gli insetti muoiono quando diventano pubblici e muoiono quando vengono rattoppati"

Suppongo che da questa definizione si possa dedurre che un "bug di un giorno" sarebbe un termine insignificante, o immagino che si possa dire che è uno per cui esiste una patch in pubblico, ma a cui l'utente non ha applicato la patch.

— Stefano
fonte

2

Possiamo avere una fonte più autorevole di Wikipedia!

— Martin York,

2

@Martin Certo che possiamo.

— Stephen

@Martin solo perché la sua Wikipedia non lo rende automaticamente non autorevole

— Kenneth

@Kenneth: In realtà è esattamente quello che è Wikipedia (non autorevole). È un posto perfetto per iniziare la ricerca per trovare una fonte autorevole, ma di per sé non è autorevole (come Wikipedia stessa si definisce come). Consulta la dichiarazione originale dei cercatori sul sito.

— Martin York,

5

@Martin: Wikipdia non è autorevole, ma le fonti che cita. Quindi non abbiamo bisogno di essere pignoli sul fatto che Wikipedia sia autorevole o no, possiamo semplicemente scorrere verso il basso e guardare la sezione delle opere citate e vedere di persona.

— richard,

2

Un bug del "primo giorno" è semplicemente un bug che esiste da molto tempo (il primo giorno è la data di creazione del software), rispetto a una "regressione", o bug recentemente introdotto. Quando si analizza un problema che è stato appena segnalato per la prima volta, è prassi generale concentrarsi sulle recenti modifiche al software come la fonte più probabile del problema. Alcuni insetti, tuttavia, conducono una vita incantata e rimangono dormienti per anni (o addirittura decenni) senza essere notati. Nella mia esperienza di sviluppatore, i bug del primo giorno sono generalmente mascherati da altri software che riparano il danno o impediscono l'esercizio del bug; modifiche apparentemente non correlate possono rimuovere uno di questi "fattori compensativi" che consentono alla bug originale di manifestarsi ed essere notata. Ho trovato un bug nel 2012 nel codice che ho scritto nel 1986 e che aveva elaborato miliardi se non trilioni di transazioni in centinaia di installazioni prima del suo primo arresto. Ho trascorso diversi giorni a convincermi (costruendo test elaborati) che il bug era veramente il primo giorno.

Il termine "zero day" è totalmente estraneo al molto più antico "day one".

— RSP
fonte

0

Chiedi alla persona che ha usato l'espressione. Non è ampiamente utilizzato per l'esistenza di una definizione generalmente concordata.

Un "exploit zero day" è un exploit di sicurezza che lo sviluppatore del software (o la comunità della sicurezza in generale) conosce da 0 giorni (ovvero non ancora) in modo che non ci possa essere una correzione. Estrapolando da ciò, un "exploit di un giorno" sarebbe uno che è diventato pubblicamente noto oggi, quindi se lo sviluppatore e gli utenti agiscono rapidamente, alcuni sistemi potrebbero già essere patchati.

Ma quell'estrapolazione non è necessariamente corretta, l'espressione potrebbe non avere nulla a che fare con gli exploit zero-day. La risposta di Brian in realtà sembra più probabile. Il che ci riporta al mio primo paragrafo.

— Michael Borgwardt
fonte