On Thu, 26 Aug 2021 00:06:23 +0300 Vitaly Lipatov wrote:
> Andrey Savchenko писал 25.8.21 23:52:
> > On Wed, 25 Aug 2021 22:58:03 +0300 Vitaly Lipatov wrote:
> >> Также, как я понимаю, достаточно сложно создать уязвимость именно в 
> >> том
> >> коде, который генерируется при сборке приложения, а не библиотеки. 
> >> Разве
> >> известны такие случаи?
> > 
> > Я отдельно не искал. Но почему ошибка в реализации шаблона
> > представляется невероятной?
> Представляется очень маловероятной.

А зря. Это точно такой же полноценный код с среднестатистически
такой же частотой ошибок. Вот пример по тому же cgal:
https://www.cvedetails.com/vulnerability-list/vendor_id-24019/Cgal.html

Все 4 CVE по header-only коду. Т.е. просто в яблочко.

> Потенциальная проблема может 
> возникнуть у нескольких пакетов среди десятков тысяч в репозитории, 
> поэтому особо никого не волнует — в смысле никто не готов ради этого 
> переходить на статику, например.

1. Формально закрытые, но в реальности оставшиеся CVE — это слишком
серьёзная проблема, чтоб её игнорировать. Даже если таких пакетов
0.1% (я думаю, что в десятки раз больше).

2. В исходном письме я перечислил достаточно много примемуществ
статики со ссылкой на весьма авторитетные источники.

Повторюсь, я не призываю полностью избавляться от DSO, но статику
можно и нужно использовать.

Best regards,
Andrew Savchenko