> Профессионализм программистовКомпилятор с хорошими опциями компиляции укажет программисту на ошибки безопасности.
Вот профессионализм проявляется тогда когда программист сам исправляет ошибки по рекомендации компилятора. Когда исправляет после багрепорта тоже еще можно терпеть.
> портирование ядерной защиты на другую архитектуру будет неадекватно сложно.
Это тема большого отдельного разговора. По этому поводу я согласен с Н. Виртом.
> высказывания линуса и шпенглера по поводу этих патчей
Они не любят PaX & Grsecurity и противятся включению этих патчей в ядро уже 20 лет. То что включается в ядро, не все но часть дырява и сделана хуже чем в оригинальном PaX & Grsecurity.
> У тебя какая-то болезненая фиксация на jit.
Да, причем очень заостренная. Иначе пионеры этот JIT напихают во весь софт. У меня строгая реализация защиты не допускающая любого JIT, соответственно ПО которое не собирается без JIT у меня и на многих архитектура процессоров mips, ppc, ... просто не будет работать. Мы не можем использовать ПО с JIT по этому и громко кричим, что JIT - зло и надо во всех программах иметь опцию configure --jitless --no-jit для сборки проги без JIT.
> реализация jit даже и требующая W|X может и не иметь в себе эксплуатируемых уязвимостей.
Гарантий отсутствия уязвимостей вылизывая код с JIT не получишь.
А ядро OS с процессором может дать гарантии отсутствия эксплуатации уязвимостей переполнения буфера.