[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [HanoiLUG] [VFOSSA] Làm HĐH PMNM cho Việt Nam



                    |cảnh báo: thư gửi cho hai nhóm, chú ý khi trả lời|

On Tue, 25 Jun 2013 10:26:02 +0200
Hai Nam <[email protected]> wrote:

> Mình cũng nghĩ tương tự. Câu trả lời khó nhất khi làm bản phân phối
> riêng là dùng lại repo upstream hay là có chỉnh sửa khi đóng gói. Còn
> những cái khác thì thông tin có đủ rồi, không có gì nhiều phải bàn
> luận.
> 
> Nhưng để đảm bảo "an ninh", theo cách mà không thể dùng Ubuntu hay
> Fedora, thì chỉ có cách là dùng repo riêng, tự đóng gói tất cả. Chứ
> còn mà dùng lại các package đã được đóng gói thì việc "kiểm tra trước
> khi tích hợp" chỉ là võ mồm thôi, không thực tế.

`an ninh`, `an toàn` có nhiều cách hiểu và quan niệm khác nhau, ở đây
có các chuyên gia (và chiên da) làm về ngành bảo mật chắc hiểu hơn em.
Vấn đề này quá lớn, e chỉ đặt ra vấn đề "nhỏ" tí thôi, như Hải Nam đã nói:
khi làm `distro` có muốn kiểm soát quá trình `build` tất cả các gói không.
Ngay cả khi câu trả lời là `có`, và mình có một hệ thống đồ sộ để biên dịch
(mấy bác cứ nghĩ tới chuyện biên dịch mấy ngàn gói suốt ngày đêm
thì sẽ biết EVN lấy được bao nhiều tiền rồi:D), thì liệu có thể đảm bảo
là sẽ cho ra lò những đứa con ngoan hiền dễ bảo không? Câu trả lời
là "KHÔNG". Phải qua nhiều thế hệ và kiểm soát chặt chẽ mới chỉ được
phần nào thôi. Tại sao? Kỹ thuật mà nói, các bác phải dùng một máy sẵn
có để biên dịch. Đây là "khởi nguồn của sự sống". Ai đảm bảo rằng cái
máy các bác dùng nó không có "tò tí te" trong đó rồi? Và ai kiểm soát
các máy biên dịch này, kiểm soát thế nào? (rất nhiều câu hỏi)

Cho nên để "an toàn" thì nên có một đội chuyên về an ninh, audit, bla bla 
cũng như nên có một đội về QC.  Rất mong các bác hacker quan tâm và góp ý
thêm (giúp #theslinux luôn càng tốt:D). Mà em đề nghị nghiên cứu luôn
bạn `freebsd` (không phải `openbsd` ra nhé:D) có QC xịn lắm :)

> Việc trả lương khoảng 1,5 tỉ/năm thì khá ổn rồi, có 5-7 người làm
> việc toàn thời gian cho một bản phân phối Linux là điều quá tốt, trên
> thế giới số bản Linux có được điều này chắc dưới 10 đầu ngón tay. Tuy
> nhiên, việc VFOSSA đứng ra đấu thầu rồi các công ty "lựa chọn tinh
> hoa" là điều không nên, các công ty muốn tham gia đóng góp là 1 việc
> khác, còn những người được nhà nước trả lương để duy trì bản phân
> phối này phải được quản lí, trả lương trực tiếp bới 1 công ty riêng,
> và chỉ công ty này (có thể ban giám đốc công ty đồng thời thuộc các
> công ty khác, không sao cả) có quyền quyết định họ làm gì.

Ttrả lương cho 10 bác luôn, mà không trả lương cho các bạn khác thì e
hơi bất tiện (chạnh lòng). Các bạn khác ở đây là "cộng đồng". Lấy ví dụ
nhé, giờ em là `core dev` của `the-new-distro`, em làm ròng rã một tháng
trời không fix nổi một vấn đề của nhân `linux`. Một bạn trong cộng đồng
biết cách fix. Bạn ấy nói và chỉ ra cách fix luôn. Ok quá ngon. Thế bây giờ
trả tiền cho ai? Trả tiền cho em với một tháng làm việc không hiệu quả,
hay là trả tiền cho bạn ấy, hay là trả tiền cho mối quan hệ tốt đẹp
đã khiến bạn ấy giúp đỡ nhiệt tình bằng cách cung cấp bản vá? Em e rằng
khi đã trả tiền cho 10 bạn `dev`, và đến khi các bạn ấy `overload` thì
cách gì cũng có bạn bảo `ờ, mày có tiền, mày ngon mày fix đi` ;)

Ngoài ra, mức tối thiểu `20 triệu` trong bản đề xuất thấp quá nếu tính
tới giá trị thực tế trên thị trường. Sẽ không đủ sức kéo và giữ người ạ!

Còn nhiều nữa, rất nhiều vấn đề nữa, bàn tới khuya luôn, nên tạm vậy đã :D

--
I am ... 5 dog years old.