|cảnh báo: thư gửi cho hai nhóm, chú ý khi trả lời|
On Tue, 25 Jun 2013 10:26:02 +0200 Hai Nam <[email protected]> wrote: > Mình cũng nghĩ tương tự. Câu trả lời khó nhất khi làm bản phân phối > riêng là dùng lại repo upstream hay là có chỉnh sửa khi đóng gói. Còn > những cái khác thì thông tin có đủ rồi, không có gì nhiều phải bàn > luận. > > Nhưng để đảm bảo "an ninh", theo cách mà không thể dùng Ubuntu hay > Fedora, thì chỉ có cách là dùng repo riêng, tự đóng gói tất cả. Chứ > còn mà dùng lại các package đã được đóng gói thì việc "kiểm tra trước > khi tích hợp" chỉ là võ mồm thôi, không thực tế. `an ninh`, `an toàn` có nhiều cách hiểu và quan niệm khác nhau, ở đây có các chuyên gia (và chiên da) làm về ngành bảo mật chắc hiểu hơn em. Vấn đề này quá lớn, e chỉ đặt ra vấn đề "nhỏ" tí thôi, như Hải Nam đã nói: khi làm `distro` có muốn kiểm soát quá trình `build` tất cả các gói không. Ngay cả khi câu trả lời là `có`, và mình có một hệ thống đồ sộ để biên dịch (mấy bác cứ nghĩ tới chuyện biên dịch mấy ngàn gói suốt ngày đêm thì sẽ biết EVN lấy được bao nhiều tiền rồi:D), thì liệu có thể đảm bảo là sẽ cho ra lò những đứa con ngoan hiền dễ bảo không? Câu trả lời là "KHÔNG". Phải qua nhiều thế hệ và kiểm soát chặt chẽ mới chỉ được phần nào thôi. Tại sao? Kỹ thuật mà nói, các bác phải dùng một máy sẵn có để biên dịch. Đây là "khởi nguồn của sự sống". Ai đảm bảo rằng cái máy các bác dùng nó không có "tò tí te" trong đó rồi? Và ai kiểm soát các máy biên dịch này, kiểm soát thế nào? (rất nhiều câu hỏi) Cho nên để "an toàn" thì nên có một đội chuyên về an ninh, audit, bla bla cũng như nên có một đội về QC. Rất mong các bác hacker quan tâm và góp ý thêm (giúp #theslinux luôn càng tốt:D). Mà em đề nghị nghiên cứu luôn bạn `freebsd` (không phải `openbsd` ra nhé:D) có QC xịn lắm :) > Việc trả lương khoảng 1,5 tỉ/năm thì khá ổn rồi, có 5-7 người làm > việc toàn thời gian cho một bản phân phối Linux là điều quá tốt, trên > thế giới số bản Linux có được điều này chắc dưới 10 đầu ngón tay. Tuy > nhiên, việc VFOSSA đứng ra đấu thầu rồi các công ty "lựa chọn tinh > hoa" là điều không nên, các công ty muốn tham gia đóng góp là 1 việc > khác, còn những người được nhà nước trả lương để duy trì bản phân > phối này phải được quản lí, trả lương trực tiếp bới 1 công ty riêng, > và chỉ công ty này (có thể ban giám đốc công ty đồng thời thuộc các > công ty khác, không sao cả) có quyền quyết định họ làm gì. Ttrả lương cho 10 bác luôn, mà không trả lương cho các bạn khác thì e hơi bất tiện (chạnh lòng). Các bạn khác ở đây là "cộng đồng". Lấy ví dụ nhé, giờ em là `core dev` của `the-new-distro`, em làm ròng rã một tháng trời không fix nổi một vấn đề của nhân `linux`. Một bạn trong cộng đồng biết cách fix. Bạn ấy nói và chỉ ra cách fix luôn. Ok quá ngon. Thế bây giờ trả tiền cho ai? Trả tiền cho em với một tháng làm việc không hiệu quả, hay là trả tiền cho bạn ấy, hay là trả tiền cho mối quan hệ tốt đẹp đã khiến bạn ấy giúp đỡ nhiệt tình bằng cách cung cấp bản vá? Em e rằng khi đã trả tiền cho 10 bạn `dev`, và đến khi các bạn ấy `overload` thì cách gì cũng có bạn bảo `ờ, mày có tiền, mày ngon mày fix đi` ;) Ngoài ra, mức tối thiểu `20 triệu` trong bản đề xuất thấp quá nếu tính tới giá trị thực tế trên thị trường. Sẽ không đủ sức kéo và giữ người ạ! Còn nhiều nữa, rất nhiều vấn đề nữa, bàn tới khuya luôn, nên tạm vậy đã :D -- I am ... 5 dog years old. _______________________________________________ POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines _______________________________________________ HanoiLUG mailing lists: http://lists.hanoilug.org/ HanoiLUG wiki: http://wiki.hanoilug.org/ HanoiLUG blog: http://blog.hanoilug.org/
