Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apache-Sicherheitslücke: Optionsbleed…

Open Source und Public review?

  1. Thema

Neues Thema Ansicht wechseln


  1. Open Source und Public review?

    Autor: chefin 21.09.17 - 07:17

    Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von OpenSource, die Transparenz als wirkungslos heraus?

    Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben muss, den man bei gekaufter Software teilweise dazu bekommt. Naja...wobei bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel Support mitbringen kann. Und OpenSource Supporter sind nicht billiger weil es um OpenSource geht.

    Ich bin mir sicher, man kann nette Hintertürchen reinbringen die Jahrelang keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für NSA dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre wechseln. Nicht das doch mal einer zufällig drüber stolpert.

  2. Re: Open Source und Public review?

    Autor: Neutrinoseuche 21.09.17 - 07:56

    Bei Fehlerbereinigungen wird priorisiert. Kleinere und unwichtig erscheinende Fehler werden hintenangestellt. Wenn damals kein PoC vorlag, dann wurde dadurch die schwere dieses Fehlers falsch eingeschätzt. Außerdem nützen Public Reviews relativ wenig, wenn darauf nicht reagiert wird. Bei manchen Personen in der Entscheidungsebene gibt es eine gewisse Lethargie. :)

    Die Frage ist eigentlich nur wie schnell jetzt ein Fix kommt. Die letzte Version (2.4.27) erschien am 09.07.2017. Ich gehe davon aus, dass noch diese oder nächste Woche ein Bugfix bereitsteht. Das ist nämlich genau der Vorteil von Open Source. Es kann schnell auf kritische Fehler reagiert werden. Man muss sich nicht durch lange Strukturen hangeln, sich nicht nach Patchdays richten und muss keine Fehler für Behörden geheimhalten.



    2 mal bearbeitet, zuletzt am 21.09.17 07:59 durch Neutrinoseuche.

  3. Re: Open Source und Public review?

    Autor: devman 21.09.17 - 08:18

    Es ist nicht nur Open Source, es ist auch unter einer freien Lizenz.

    Open Source hat weitere Vorteile:
    - man lernt von anderer Leute Code
    - man hat ein geringeres Risiko beim Wegfall des Herstellers
    - man selbst wird besseren und sauberen Code abliefern oder blamed
    - Entwicklungskräfte werden gebündelt, besonders in Zeiten des Fachkräftemangels sollte man mehr auf die gemeinsame Entwicklung von grundlegene Frameworks setzten.

  4. Re: Open Source und Public review?

    Autor: .02 Cents 21.09.17 - 08:40

    > manchen Personen in der Entscheidungsebene gibt es eine gewisse Lethargie.

    Der König ist tot, lang lebe der König ... oder anders: wenn das Prinzip versagt hat, liegt es doch nicht am Prinzip?

    > diese oder nächste Woche ein Bugfix bereitsteht. Das ist nämlich genau der
    > Vorteil von Open Source. Es kann schnell auf kritische Fehler reagiert

    Das ist offensichtlicher Unsinn. Wenn die Lethargie der Entscheidungsebene bei der Priorisierung von Fehlern ein Problem ist, ist sie das ganz sicher auch bei deren Behebung - die Priorisierung kostet erst mal noch nichts ...

    Außerdem ist die Geschwindigkeit der Behebung in erster eine Funktion der Komplexität einer Software und ihres Einsatzes, sowie des Entwicklungsprozesses und dessen Flexibilität bezüglich solcher Änderungen. Da ich auf Seiten Datenintegration arbeite, habe ich auch nicht sonderlich viel direkt mit Web Servern zu tun, aber eine neue Software Version ist idR. kein Fix, und für viele Anwendungen auch keine Option. Man kann offensichtlich nicht einfach Oracle 12 über ein laufendes Oracle 10 installieren, um mal eben schnell in zwei Wochen einen Bugfix in die Produktion schieben. Im Sinne von Opensource gilt das auch für MySQL u.ä. und es scheint mir äußerst zweifelhaft, dass das für einen Webserver anders sein könnte ...

  5. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:24

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet
    > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von
    > OpenSource, die Transparenz als wirkungslos heraus?
    >
    > Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben
    > muss, den man bei gekaufter Software teilweise dazu bekommt. Naja...wobei
    > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger weil
    > es um OpenSource geht.
    >
    > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die Jahrelang
    > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für NSA
    > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    Again, wie so oft: Open Source ist keine Garantie gegen Sicherheitslücken. Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert? Ich sag nur EternalBlue.

    Natürlich sichert Open Source nicht davor. Deswegen proprietäre Software zu wählen ist aber den Teufel gegen den beezelbub austauschen.

  6. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:26

    devman schrieb:
    --------------------------------------------------------------------------------
    > Es ist nicht nur Open Source, es ist auch unter einer freien Lizenz.
    >
    Nenn mir eine Lizenz die OS aber nicht frei ist oder umgekehrt.

  7. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:29

    .02 Cents schrieb:
    --------------------------------------------------------------------------------
    > Da ich auf Seiten Datenintegration arbeite, habe ich auch nicht sonderlich
    > viel direkt mit Web Servern zu tun, aber eine neue Software Version ist
    > idR. kein Fix, und für viele Anwendungen auch keine Option. Man kann
    > offensichtlich nicht einfach Oracle 12 über ein laufendes Oracle 10
    > installieren, um mal eben schnell in zwei Wochen einen Bugfix in die
    > Produktion schieben. Im Sinne von Opensource gilt das auch für MySQL u.ä.
    > und es scheint mir äußerst zweifelhaft, dass das für einen Webserver anders
    > sein könnte ...
    Aber Oracle wird ja auch für Version 10 einen Sicherheitspatch nachschieben, wenn sie die Version noch supporten. Und bei OSS ist das nicht anders. Es ist sogar so, dass ein Patch von Dritten zurückportiert werden kann (was Debian tut) oder sogar ein Patch von Dritten angefertigt werden kann. Bei proprietärer Software ist man da immer auf den Hersteller angewiesen.

  8. Re: Open Source und Public review?

    Autor: S-Talker 21.09.17 - 13:58

    mnementh schrieb:
    --------------------------------------------------------------------------------
    > chefin schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet
    > > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von
    > > OpenSource, die Transparenz als wirkungslos heraus?
    > >
    > > Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben
    > > muss, den man bei gekaufter Software teilweise dazu bekommt.
    > Naja...wobei
    > > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger
    > weil
    > > es um OpenSource geht.
    > >
    > > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die
    > Jahrelang
    > > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für
    > NSA
    > > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    > Again, wie so oft: Open Source ist keine Garantie gegen Sicherheitslücken.
    > Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert?

    Dieser Bug wurde nicht durch Code-Review gefunden.

  9. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 15:52

    S-Talker schrieb:
    --------------------------------------------------------------------------------
    > mnementh schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > chefin schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso
    > findet
    > > > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument
    > von
    > > > OpenSource, die Transparenz als wirkungslos heraus?
    > > >
    > > > Wo liegen den dann noch die Vorteile, wenn man Support seperat
    > erwerben
    > > > muss, den man bei gekaufter Software teilweise dazu bekommt.
    > > Naja...wobei
    > > > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > > > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger
    > > weil
    > > > es um OpenSource geht.
    > > >
    > > > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die
    > > Jahrelang
    > > > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre
    > für
    > > NSA
    > > > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > > > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    > > Again, wie so oft: Open Source ist keine Garantie gegen
    > Sicherheitslücken.
    > > Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert?
    >
    > Dieser Bug wurde nicht durch Code-Review gefunden.
    Andere wurden. Es ist was ich sage: Bei Open Source funktionieren die Wege proprietärer Software um Bugs zu entdecken ja auch. Nur zusätzlich mehr.

    Zudem ist es einfacher einen Bug klarer einzugrenzen, wenn man in den Source schauen kann. Anfangs hat man vielleicht einen Fehler, der nicht nachvollziehbar manchmal auftritt. Unter Umständen ist nicht einmal klar welche Software beteiligt ist. In den Quellcode zu schauen um mögliche Parameter zur Reproduktion des Fehlers zu finden ist sehr hilfreich.

  10. Re: Open Source und Public review?

    Autor: ello 21.09.17 - 16:37

    https://en.wikipedia.org/wiki/NASA_Open_Source_Agreement

    Hier gibts ne Matrix
    https://en.wikipedia.org/wiki/Comparison_of_free_and_open-source_software_licenses#Approvals

    Vergleiche z.B. FSF und OSI Spalte. Wenn die nicht übereinstimmen, haste dein gewünschtes Szenario (oberflächlich betrachtet)



    2 mal bearbeitet, zuletzt am 21.09.17 16:41 durch ello.

  11. Re: Open Source und Public review?

    Autor: mnementh 22.09.17 - 10:43

    ello schrieb:
    --------------------------------------------------------------------------------
    > en.wikipedia.org
    >
    Hier gibt es eine Differenz zwischen der OSI und der FSF, wie die entsprechende Klausel zu verstehen ist. Also da steht, dass der Contributor (ich übersetze das mal nicht, da hier der Hase im Pfeffer liegt) nach bestem Gewissen die Änderungen als seine eigenen ansieht.

    Nun die Situation: Wenn Person A Code schreibt und unter einer OS-Lizenz freigibt und Person B fügt diesen in eine Software unter der NASA-Lizenz ein, wer ist der Contributor? Wenn dies Person A ist, dann entspricht die Lizenz sowohl der Free Software Definition als auch der Open Source Definition. Ist es Person B, so darf diese Kombination legal nicht durchgeführt werden. Damit wäre es ein Verstoß gegen Freiheit 3 der Free Software Definition und gegen Punkt 3 und 4 der Open-Source-Definition. Welche Interpretation ist zutreffend? Nun, das wissen wir nicht bis ein Gericht es entscheidet.

    Aber welche Interpretation auch zutrifft, entweder ist die Lizenz sowohl frei als auch Open Source oder keines von beiden.

    > Hier gibts ne Matrix
    > en.wikipedia.org#Approvals
    >
    > Vergleiche z.B. FSF und OSI Spalte. Wenn die nicht übereinstimmen, haste
    > dein gewünschtes Szenario (oberflächlich betrachtet)
    Approval ist nicht ausreichend, da viele Gründe zum Entzug desselben führen. Beispiel Artistic License, die FSF sagt:
    "The original version of the Artistic License is defined as non-free because it is overly vague, not because of the substance of the license. The FSF encourages projects to use the Clarified Artistic License instead."
    Also die Aussage ist nicht, dass die Lizenz im Wiederspruch zur Definition freier Software steht, sondern dass sie zu unklar ist. Gerichte hätten letzlich zu klären was zutreffend ist.

    Mithin sehe ich kein Beispiel was im Widerspruch zu einer der beiden Definitionen steht aber die andere erfüllt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. WSW Wuppertaler Stadtwerke GmbH, Wuppertal
  2. Stadtwerke München GmbH, München
  3. TE Connectivity Germany GmbH, Feuchtwangen
  4. Pluradent AG & Co. KG, Offenbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 7,99€ inkl. FSK-18-Versand
  2. (2 Monate Sky Ticket für nur 4,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

Blackberry Key2 im Test: Ordentliches Tastatur-Smartphone mit zu vielen Schwächen
Blackberry Key2 im Test
Ordentliches Tastatur-Smartphone mit zu vielen Schwächen

Zwei Hauptkameras, 32 Tasten und viele Probleme: Beim Blackberry Key2 ist vieles besser als beim Keyone, unfertige Software macht dem neuen Tastatur-Smartphone aber zu schaffen. Im Testbericht verraten wir, was uns gut und was uns gar nicht gefallen hat.
Ein Test von Tobias Czullay

  1. Blackberry Key2 im Hands On Smartphone bringt verbesserte Tastatur und eine Dual-Kamera
  2. Blackberry Motion im Test Langläufer ohne Glanz

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

  1. Amazon Deutschland: Streiks beim Amazon Prime Day auch in Polen und Spanien
    Amazon Deutschland
    Streiks beim Amazon Prime Day auch in Polen und Spanien

    In drei europäischen Ländern kämpfen am Amazon Prime Day die Lagerarbeiter. Die Streikbewegung geht nun in das sechste Jahr.

  2. ESA: Der neue Feststoffbooster der Ariane 6 ist da
    ESA
    Der neue Feststoffbooster der Ariane 6 ist da

    Das erste Teil der nächsten Rakete der Esa ist erfolgreich getestet worden. Der P120C Feststoffbooster ist die erste Stufe der neuen Rakete. Sie wird gleichzeitig die Vega C antreiben. Der als Weltrekord angekündigte Test ist aber keiner.

  3. MINT: Forscherinnen auf Youtube erhalten sexistische Kommentare
    MINT
    Forscherinnen auf Youtube erhalten sexistische Kommentare

    Informatikerinnen, Physikerinnen und Mathematikerinnen haben es laut einer Studie auf Youtube nicht leicht. Viele Kommentare beziehen sich demnach auf ihr Äußeres und sind beleidigend oder sexistisch.


  1. 18:21

  2. 18:05

  3. 17:06

  4. 17:05

  5. 16:02

  6. 15:33

  7. 12:51

  8. 12:35