<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p>On 07/30/2018 12:52 PM, Jordan Brown wrote:<br>
    </p>
    <blockquote type="cite"
      cite="mid:35b5e9e9-3100-677b-b274-8c02da717089@jordan.maileater.net">
      <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
      Because a zero-leaks policy is a lot easier to manage than having
      to make a judgement call on each leak whether or not it's
      important, and having to filter out "unimportant" leaks when
      you're trying to find out whether you've introduced any
      "important" leaks.<br>
      <br>
      Maybe the test suite only caused the program to leak one buffer,
      but that doesn't tell you whether a real workload (or a malicious
      workload) will leak gigabytes.<br>
      <pre class="moz-signature" cols="72">-- 
Jordan Brown, Oracle Solaris</pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
    </blockquote>
    ^^^ this<br>
    <br>
    So much has changed in programming culture over the decades for me
    to be able to call it "engineering" any more.  Too much code
    equivalents of duct tape, chewing gum, and kite string holding
    things together out there and so many consider that normal and ok. 
    I never thought I'd see the day that someone would have to defend
    not leaking memory in pivotal security code like openssl however<br>
  </body>
</html>