1. Foren
  2. Kommentare
  3. OpenSource-Forum
  4. Alle Kommentare zum Artikel
  5. › Open Source: "Antworten Sie…

Bin ich jetzt zu doof, oder...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Bin ich jetzt zu doof, oder...

    Autor: booyakasha 25.01.22 - 10:32

    ...wurde hier tatsächlich nur die Geschichte, nicht aber die Problematik selbst ausreichend erläutert?
    Nicht, dass ich solche Artikel nicht als relevant erachte. Ich hätte mir als der Laie der ich bin einfach gewünscht, dass die Problematik selbst noch etwas weiter erläutert wird.
    Ich sehe in Zusammenhang mit Grosskonzernen und OpenSource so manchen Bruch, muss aber nicht heissen, dass das der Haltung der OpenSource-Szene(n) entspricht.

  2. Re: Bin ich jetzt zu doof, oder...

    Autor: px 25.01.22 - 10:41

    Naja, de Problematik ergibt sich doch aus der Tatsache, dass ein großes Unternehmen gratis OpenSource-Software nutzt und dann erwartet, dass Lücken umgehend und natürlich auch gratis geschlossen werden. Das ist m.E. weniger eine Frage der Haltung von OpenSource-Entwicklern als von diesen Firmen, die das Prinzip nicht verstanden haben.

  3. Re: Bin ich jetzt zu doof, oder...

    Autor: hansblafoo 25.01.22 - 10:47

    px schrieb:
    --------------------------------------------------------------------------------
    > Naja, de Problematik ergibt sich doch aus der Tatsache, dass ein großes
    > Unternehmen gratis OpenSource-Software nutzt und dann erwartet, dass Lücken
    > umgehend und natürlich auch gratis geschlossen werden. Das ist m.E. weniger
    > eine Frage der Haltung von OpenSource-Entwicklern als von diesen Firmen,
    > die das Prinzip nicht verstanden haben.

    Noch bezeichnender ist, dass die Mail anscheinend jemand geschickt hat, der überhaupt keinen blassen Schimmer von Software hat. Ich bin mir daher nicht mal im Klaren, ob der Absender der Mail, weiß, was Open Source ist.

  4. Re: Bin ich jetzt zu doof, oder...

    Autor: px 25.01.22 - 10:48

    Vermutlich nicht, wenn das wirklich eine Massenmail war an alle möglichen Geschäftspartner... war hoffentlich ein Versehen :D

  5. Re: Bin ich jetzt zu doof, oder...

    Autor: ZwoVierNeun 25.01.22 - 10:49

    Noch mehr, hier werden unterschiedliche Abteilungen aktiv, die kaum was voneinander wissen, nämlich die, die die OSS einsetzen und irgendeine Sicherheits- oder Rechtsabteilung, die bei log4j Schnappatmung bekommen hat. Das ging bei uns intern auch so, da hat das Security-Team massenhaft Tickets an die (internen) Server-Besitzer geschickt, sie sollen gefälligst die log4j-Lücken patchen. Als dann massenhaft Protest zurückkam, weil die meisten lediglich lokal Sofware einsetzen, in denen die Lib verwendet wird und die Lücke dort gar nicht aus dem Netzwerk ausnutzbar ist, hat man sich korrigiert und jeden erstmal aufgefordert, eine Gefährdungsbeurteilung für seinen Server abzugeben. Und in einigen Firmen scheint das eben auch nach extern genau so passiert zu sein.

  6. Re: Bin ich jetzt zu doof, oder...

    Autor: andkleves 25.01.22 - 11:34

    px schrieb:
    --------------------------------------------------------------------------------
    > Vermutlich nicht, wenn das wirklich eine Massenmail war an alle möglichen
    > Geschäftspartner... war hoffentlich ein Versehen :D

    Mutmaßung: vermutlich pflegen die in der Firma ein Software-Inventar, in dem zu jeder Software eine Email als Ansprechpartner hinterlegt sein muss. Die Leute, die curl in das Software-Inventar einpflegen mussten, wollten keinen Stress und haben der Einfachheit die Mailadresse vom Autor eingetragen - sonst würden sie ja Rückfragen und damit mehr Arbeit erhalten. So schlummerte das dann einige Jahre vor sich hin bzw. wurde ggf. einmal jährlich reviewt - und nun hat anlässlich LogJ jemand einen Serienbrief an alle Mailadressen im Software-Inventar geschickt -- dabei irgendwie zu differenzieren hätte Arbeit gemacht, also schreibt man einfach alle an, auch als CYA Maßnahme. Sowas müsste doch eigentlich ständig passieren. So ein typisches Software-Inventar hat ein paar hundert Einträge...



    2 mal bearbeitet, zuletzt am 25.01.22 11:36 durch andkleves.

  7. Re: Bin ich jetzt zu doof, oder...

    Autor: radnerd 25.01.22 - 11:42

    Hier auch. Das Problem war, dass die generische Aufforderungen per Gieskanne durch den Hierarchietannenbaum an alle verteilt wurde, die irgendwie Software im Unternehmen bereitstellen. Egal ob Java oder nicht.

    Selbst wenn die Software von Log4j nicht betroffen war, konnte man das kaum erklären, weil der zuständige Ansprechpartner gar nicht in der Lage war das zu verarbeiten oder gar eine vorgeschlagene Lösung abzunehmen.
    Schlimmer noch wenn die verlangte Version von Log4J nicht verwendet werden konnte, weil noch Java 7 eingesetzt werden _muss_. Er sollte nur "ist behoben" weitermelden.

    Völlige Entkopplung von Sachkenntnis, Verantwortung und handelnden Personen.
    Am Ende wurde die Lücke wenn vorhanden natürlich geschlossen. Intern wurde irgendwas weitergemeldet, was in den Meldeweg passte ohne jemand intern zu exposen.
    Sehr unbefriedigend, aber es liegt nicht am externen Dienstleister die internen Prozesse in DAX-Unternehmen unentgeltlich mit Kampf zu optimieren.

  8. Wie kommst du darauf?

    Autor: Vanger 25.01.22 - 11:43

    px schrieb:
    --------------------------------------------------------------------------------
    > Naja, de Problematik ergibt sich doch aus der Tatsache, dass ein großes
    > Unternehmen gratis OpenSource-Software nutzt und dann erwartet, dass Lücken
    > umgehend und natürlich auch gratis geschlossen werden.

    Wie kommst du darauf?

    Die wahrscheinlichste Erklärung, die auch im Artikel aufgezeigt wird, ist, dass eine Massenmail an die Entwickler sämtlicher Software geschickt wurde, die dort zum Einsatz kommt. In so eine Datenbank gehört selbstverständlich auch alle im Einsatz befindliche OSS. Ganz im Gegenteil, wenn dort OSS nicht enthalten wäre würde das tatsächlich von einem höchst problematischen Umgang mit OSS zeugen...

    Der Fehler des die E-Mail schreibenden Praktikanten war nun einfach in der Abfrage OSS nicht zu filtern - vermutlich weil ihm nicht klar war, dass dort auch OSS enthalten ist. In großen Unternehmen schreiben auch nicht Entwickler solche E-Mails, sondern Bürokräfte - und die haben von curl vermutlich noch nie gehört, geschweige denn von Daniel Stenberg.

    Wie man *daraus* einen problematischen Umgang mit OSS konstruieren kann ist mir etwas schleierhaft. Das wäre erst der Fall wenn die Firma tatsächlich darauf bestehen würde - was sie dem Vernehmen nach nicht tat... Die E-Mail war halt ein peinlicher Fehler. Wenn der die E-Mails bearbeitende Praktikant menschliche Größe zeigt hat er sich vielleicht noch mit "Sorry, didn't know" entschuldigt, mehr aber auch nicht...

  9. Re: Bin ich jetzt zu doof, oder...

    Autor: bofhl 25.01.22 - 12:05

    andkleves schrieb:
    --------------------------------------------------------------------------------
    > px schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Vermutlich nicht, wenn das wirklich eine Massenmail war an alle
    > möglichen
    > > Geschäftspartner... war hoffentlich ein Versehen :D
    >
    > Mutmaßung: vermutlich pflegen die in der Firma ein Software-Inventar, in
    > dem zu jeder Software eine Email als Ansprechpartner hinterlegt sein muss.
    > Die Leute, die curl in das Software-Inventar einpflegen mussten, wollten
    > keinen Stress und haben der Einfachheit die Mailadresse vom Autor
    > eingetragen - sonst würden sie ja Rückfragen und damit mehr Arbeit
    > erhalten. So schlummerte das dann einige Jahre vor sich hin bzw. wurde ggf.
    > einmal jährlich reviewt - und nun hat anlässlich LogJ jemand einen
    > Serienbrief an alle Mailadressen im Software-Inventar geschickt -- dabei
    > irgendwie zu differenzieren hätte Arbeit gemacht, also schreibt man einfach
    > alle an, auch als CYA Maßnahme. Sowas müsste doch eigentlich ständig
    > passieren. So ein typisches Software-Inventar hat ein paar hundert
    > Einträge...
    .. was dann aber eher klein sein muss!
    Unseres hat alleine im Bereich Software - Web bereits gut 800.000 Einträge - no na, wenn man Nodejs und Spring nutzt füllt das schon mal eine Datenbank ganz gut an!
    (sind auch alle genutzte Versionen und Varianten drinnen! Da gibt es ja auch zig beteiligte Firmen und Personen..)

  10. Re: Wie kommst du darauf?

    Autor: px 25.01.22 - 12:18

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > px schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Naja, de Problematik ergibt sich doch aus der Tatsache, dass ein großes
    > > Unternehmen gratis OpenSource-Software nutzt und dann erwartet, dass
    > Lücken
    > > umgehend und natürlich auch gratis geschlossen werden.
    >
    > Wie kommst du darauf?

    Das könnte so sein, der Artikel schließt es aber nicht aus:

    "Es handelte sich vermutlich um eine Massenmail, die hier ein Großkonzern an die Entwickler sämtlicher Software geschickt hat, die dort zum Einsatz kommt. Auf kuriose Weise zeigt sie aber, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist."

    Belegt wird das hier aber nicht, das stimmt.

  11. Re: Bin ich jetzt zu doof, oder...

    Autor: Nightdive 25.01.22 - 12:30

    Opensource darf man halt frei nutzen wie es in der jeweiligen Lizenz festgelegt ist. Man hat kein Recht auf Fehlerbehebungen jeglicher Art oderkann Hilfe erwarten So eine Mail an einen Opensource Author ist einfach unverschämt egal welche damlichen Prozesse dahinterstehen in Firma x.

  12. Re: Bin ich jetzt zu doof, oder...

    Autor: CmdrJameson 25.01.22 - 12:30

    px schrieb:
    --------------------------------------------------------------------------------
    > Naja, de Problematik ergibt sich doch aus der Tatsache, dass ein großes
    > Unternehmen gratis OpenSource-Software nutzt und dann erwartet, dass Lücken
    > umgehend und natürlich auch gratis geschlossen werden. Das ist m.E. weniger
    > eine Frage der Haltung von OpenSource-Entwicklern als von diesen Firmen,
    > die das Prinzip nicht verstanden haben.


    Nein, das ist nicht die Problematik.
    Große Firmen müssen aber ihren Kunden gegenüber - teilweise auch ihrem Mutterkonzern gegenüber - Rechenschaft darüber ablegen, ob in ihren Abläufen Sicherheitslücken existieren, und wie groß die daraus entstehenden Risiken sind.
    Hier wurde dann in der Panik um Log4J offenbar entschieden, dass ALLE Pakete und Bibliotheken zu betrachten sind, also alle Systemkomponenten die man auflisten kann, und die Macher derselben dann angeschrieben und eine Stellungnahme eingefordert in der irrigen Annahme dass alles, was man einsetzt, halt auch beauftragte und separat bezahlte Komponenten sind.

    Da werden auch alle Betriebssystemhersteller (Microsoft, Apple, Redhat usw...), alle Hersteller von Hardware mit eigenständigem System (managebare Switche, Drucker, Telefone etc...) und alle Anbieter von Anwendungsprogrammen eine entsprechende Mail bekommen haben.

    Vollkommen normales Vorgehen in einem großen Unternehmen.

  13. Re: Bin ich jetzt zu doof, oder...

    Autor: gaym0r 25.01.22 - 13:03

    px schrieb:
    --------------------------------------------------------------------------------
    > Naja, de Problematik ergibt sich doch aus der Tatsache, dass ein großes
    > Unternehmen gratis OpenSource-Software nutzt und dann erwartet, dass Lücken
    > umgehend und natürlich auch gratis geschlossen werden. Das ist m.E. weniger
    > eine Frage der Haltung von OpenSource-Entwicklern als von diesen Firmen,
    > die das Prinzip nicht verstanden haben.

    Bitte die letzten beiden Absätze lesen.

  14. Re: Bin ich jetzt zu doof, oder...

    Autor: peterbruells 25.01.22 - 13:14

    hansblafoo schrieb:
    --------------------------------------------------------------------------------

    > Noch bezeichnender ist, dass die Mail anscheinend jemand geschickt hat, der
    > überhaupt keinen blassen Schimmer von Software hat. Ich bin mir daher nicht
    > mal im Klaren, ob der Absender der Mail, weiß, was Open Source ist.

    Nicht vergessen, das war eine Anfrage der Warner Brother Studios:

    ‘Because if Superman uses that pod and it’s destroyed while saving the city [from General Zod], how is he ever going to get back home to Krypton?’

  15. Re: Wie kommst du darauf?

    Autor: Dakkaron 25.01.22 - 13:36

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > px schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > Die wahrscheinlichste Erklärung, die auch im Artikel aufgezeigt wird, ist,
    > dass eine Massenmail an die Entwickler sämtlicher Software geschickt wurde,
    > die dort zum Einsatz kommt. In so eine Datenbank gehört selbstverständlich
    > auch alle im Einsatz befindliche OSS. Ganz im Gegenteil, wenn dort OSS
    > nicht enthalten wäre würde das tatsächlich von einem höchst problematischen
    > Umgang mit OSS zeugen...
    >
    > Der Fehler des die E-Mail schreibenden Praktikanten war nun einfach in der
    > Abfrage OSS nicht zu filtern - vermutlich weil ihm nicht klar war, dass
    > dort auch OSS enthalten ist. In großen Unternehmen schreiben auch nicht
    > Entwickler solche E-Mails, sondern Bürokräfte - und die haben von curl
    > vermutlich noch nie gehört, geschweige denn von Daniel Stenberg.
    >
    > Wie man *daraus* einen problematischen Umgang mit OSS konstruieren kann ist
    > mir etwas schleierhaft. Das wäre erst der Fall wenn die Firma tatsächlich
    > darauf bestehen würde - was sie dem Vernehmen nach nicht tat... Die E-Mail
    > war halt ein peinlicher Fehler. Wenn der die E-Mails bearbeitende
    > Praktikant menschliche Größe zeigt hat er sich vielleicht noch mit "Sorry,
    > didn't know" entschuldigt, mehr aber auch nicht...

    OSS aus den Mails ausschließen wäre allerdings genauso dämlich. Im Endeffekt ist es nämlich völlig egal, ob die Sicherheitslücke in meiner Software durch eine kommerziell lizenzierte Abhängigkeit da reingerutscht ist, oder nicht.

    Sollte dieser Prozess einen realen Nutzen haben, dann muss natürlich auch OpenSource abgeklappert werden.

    Die Schwierigkeit ist aber hier, dass OpenSouce üblicherweise nicht die gleichen Kommunikationsströme hat, wie ClosedSource, und man von einem OpenSource-Hersteller, dessen Produkte man kostenlos verwendet, nicht das gleiche Fordern kann, wie von einem ClosedSource-Hersteller, dessen Produkt man zahlt.

    Korrekt wäre es also gewesen, alle OSS-Einträge in der Liste an die internen Entwickler weiterzuleiten, damit die die Antworten selber herausfinden. Oder dem eMail an den OSS-Hersteller Geld beizulegen, für den Aufwand, die Fragen zu beantworten.

  16. Re: Bin ich jetzt zu doof, oder...

    Autor: Potrimpo 25.01.22 - 14:43

    Unverschämt? Vermutlich.

    Deshalb setzen viele Firmen auch keine OSS ein, wegen fehlender Garantien.

  17. Re: Bin ich jetzt zu doof, oder...

    Autor: -eichi- 25.01.22 - 15:47

    Potrimpo schrieb:
    --------------------------------------------------------------------------------
    > Unverschämt? Vermutlich.
    >
    > Deshalb setzen viele Firmen auch keine OSS ein, wegen fehlender Garantien.


    Ich würde mal behaupten das es keine Firma in der ein PC steht gibt in der nicht irgendeine OpenSource-Software eingesetzt wird.
    meist sind das irgendwelche Bibliotheken die in Kommerziellen Anwendungen benutz werden.
    Selbst wenn ich in die Fertigung rausgehe finde ich in Fast jeder SPS oder CNC-Steuerungen irgendwo die Auflistung der benutzen Opensource Anwendungen inkl der Lizenzen

  18. Re: Wie kommst du darauf?

    Autor: chefin 26.01.22 - 07:47

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > px schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Naja, de Problematik ergibt sich doch aus der Tatsache, dass ein großes
    > > Unternehmen gratis OpenSource-Software nutzt und dann erwartet, dass
    > Lücken
    > > umgehend und natürlich auch gratis geschlossen werden.
    >
    > Wie kommst du darauf?
    >
    > Die wahrscheinlichste Erklärung, die auch im Artikel aufgezeigt wird, ist,
    > dass eine Massenmail an die Entwickler sämtlicher Software geschickt wurde,
    > die dort zum Einsatz kommt. In so eine Datenbank gehört selbstverständlich
    > auch alle im Einsatz befindliche OSS. Ganz im Gegenteil, wenn dort OSS
    > nicht enthalten wäre würde das tatsächlich von einem höchst problematischen
    > Umgang mit OSS zeugen...
    >
    > Der Fehler des die E-Mail schreibenden Praktikanten war nun einfach in der
    > Abfrage OSS nicht zu filtern - vermutlich weil ihm nicht klar war, dass
    > dort auch OSS enthalten ist. In großen Unternehmen schreiben auch nicht
    > Entwickler solche E-Mails, sondern Bürokräfte - und die haben von curl
    > vermutlich noch nie gehört, geschweige denn von Daniel Stenberg.
    >
    > Wie man *daraus* einen problematischen Umgang mit OSS konstruieren kann ist
    > mir etwas schleierhaft. Das wäre erst der Fall wenn die Firma tatsächlich
    > darauf bestehen würde - was sie dem Vernehmen nach nicht tat... Die E-Mail
    > war halt ein peinlicher Fehler. Wenn der die E-Mails bearbeitende
    > Praktikant menschliche Größe zeigt hat er sich vielleicht noch mit "Sorry,
    > didn't know" entschuldigt, mehr aber auch nicht...

    Absolut korrekt. Leider kann man solches Hintergrundwissen nur bei einem kleinen Prozentsatz der Forenposter hier erwarten. Die meisten sind schon begeistert das sie das Forum gefunden haben und nun was dazu posten können. Mehr würde erfordern das man dazu lernt und sich erstmal mit einem Thema beschäftigt bevor man was dazu schreibt. Diese Erwartungshaltung derer die Ahnung haben wird leider nicht erfüllt. Aber eigentlich wird sie in fast keinem Forum oder Kommentarbereich erfüllt.

  19. Re: Bin ich jetzt zu doof, oder...

    Autor: rubberduck09 26.01.22 - 09:22

    Wenn ich Red Hat Enterprise Linux oder die Entsprechung von SuSE einsetze habe ich einen Vetragspartner - und _DEN_ muss ich dann anschreiben denn nur der muss auch für Fixes ggf. herhalten.
    Ich schreibe bei einem Sicherheitsproblem mit Microsoft doch auch nicht den einzelnen Programmierer der einzelnen Komponenten an (diese Info ist bei CSS idr. aber eh geheim) sondern meinen Vertragspartner.

  20. Re: Bin ich jetzt zu doof, oder...

    Autor: Dakkaron 26.01.22 - 09:46

    Wen du curl aus Red Hat verwendest, dann ja.

    Aber wenn du curl irgendwo nachinstallierst (z.B. in Windows oder in einem custom Docker Image), dann bist du wieder bei curl direkt.

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Trainee (m/w/d) Informationssicherheit
    Landwirtschaftliche Rentenbank, Frankfurt am Main
  2. Product Owner (m/w/d)
    Interhyp Gruppe, München
  3. Informatiker / Fachinformatiker / MTLA als Anwendungsbetreuer (m/w/d) für medizinische Applikationen ... (m/w/d)
    Limbach Gruppe SE, Heidelberg
  4. Spezialist*in Supportmanagement (m/w/d)
    Stadtwerke München GmbH, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 51,99€ statt 79,99€
  2. 8,99€
  3. 42,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de