> Дык ты можешь привести пример сишной "популярной программы/библиотеки без 0дней дырени
> в истории" или нет?Так сходу - нет, потому что не задавался вопросом. А примеры популярных программ и библиотек на расте вообще еще поискать.
> Они бы ещё rm -rf /* сделали бы.
Это за них сделали в bumblebee. На баше, вроде, чем он так уж хуже? На нем же и RCE под рутом через DHCP сервер влепили. Тоже почти как бэкдор, хотя реально пихание непровереных данных куда попало без понимания последствий. А специальные значения - это так удобно. Пока их не начинает присылать сеть.
> потому что скорость движения пули ограничена, равно как и скорость распространения
> сигналов по нервной системе.
Верования что от всего спасет безопасный рантайм как-то способствует отключения у кодера мозга. За него же подумали другие. Или нет?
> Да. Пойти и посчитай количество проблем с памятью у растового софта.
Как ни странно, даже такое есть. Так то в расте и нормальные идеи есть, но реализация получилась странной, а гайд по unsafe напоминает проблемы си, вид в профишь. Только еще яп в 20 раз сложнее и синтаксис костылями облепили. А все-равно не хватило для линукскернела, еще два самосвала костылей.
> Или чуть шире: количество багов, которые при эксплуатации могут дать что-то, кроме
> DoS, вызванного падением процесса в полуконтролируемом формате.
Это про растовский panic? А что, DoS вполне себе атака. Алсо раст
> сможешь сказать, какая из этих выборок сишная, а какая растовая.
Пожалуй. Но это в основном потому что на сях кодить начали в других реалиях.
> То есть -- да, CVE на растовый софт особые.
Так то они наверное на каждый яп со своим колоритом. На сях например eval() так просто не сделаешь. Или репы контролируемые майкрософтом, амазоном и гуглом - тоже безопасно смотрится, в плане контроля над окружением. Недоверяемыми субъектами.