Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apache-Sicherheitslücke: Optionsbleed…

Open Source und Public review?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Open Source und Public review?

    Autor: chefin 21.09.17 - 07:17

    Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von OpenSource, die Transparenz als wirkungslos heraus?

    Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben muss, den man bei gekaufter Software teilweise dazu bekommt. Naja...wobei bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel Support mitbringen kann. Und OpenSource Supporter sind nicht billiger weil es um OpenSource geht.

    Ich bin mir sicher, man kann nette Hintertürchen reinbringen die Jahrelang keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für NSA dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre wechseln. Nicht das doch mal einer zufällig drüber stolpert.

  2. Re: Open Source und Public review?

    Autor: Neutrinoseuche 21.09.17 - 07:56

    Bei Fehlerbereinigungen wird priorisiert. Kleinere und unwichtig erscheinende Fehler werden hintenangestellt. Wenn damals kein PoC vorlag, dann wurde dadurch die schwere dieses Fehlers falsch eingeschätzt. Außerdem nützen Public Reviews relativ wenig, wenn darauf nicht reagiert wird. Bei manchen Personen in der Entscheidungsebene gibt es eine gewisse Lethargie. :)

    Die Frage ist eigentlich nur wie schnell jetzt ein Fix kommt. Die letzte Version (2.4.27) erschien am 09.07.2017. Ich gehe davon aus, dass noch diese oder nächste Woche ein Bugfix bereitsteht. Das ist nämlich genau der Vorteil von Open Source. Es kann schnell auf kritische Fehler reagiert werden. Man muss sich nicht durch lange Strukturen hangeln, sich nicht nach Patchdays richten und muss keine Fehler für Behörden geheimhalten.



    2 mal bearbeitet, zuletzt am 21.09.17 07:59 durch Neutrinoseuche.

  3. Re: Open Source und Public review?

    Autor: devman 21.09.17 - 08:18

    Es ist nicht nur Open Source, es ist auch unter einer freien Lizenz.

    Open Source hat weitere Vorteile:
    - man lernt von anderer Leute Code
    - man hat ein geringeres Risiko beim Wegfall des Herstellers
    - man selbst wird besseren und sauberen Code abliefern oder blamed
    - Entwicklungskräfte werden gebündelt, besonders in Zeiten des Fachkräftemangels sollte man mehr auf die gemeinsame Entwicklung von grundlegene Frameworks setzten.

  4. Re: Open Source und Public review?

    Autor: .02 Cents 21.09.17 - 08:40

    > manchen Personen in der Entscheidungsebene gibt es eine gewisse Lethargie.

    Der König ist tot, lang lebe der König ... oder anders: wenn das Prinzip versagt hat, liegt es doch nicht am Prinzip?

    > diese oder nächste Woche ein Bugfix bereitsteht. Das ist nämlich genau der
    > Vorteil von Open Source. Es kann schnell auf kritische Fehler reagiert

    Das ist offensichtlicher Unsinn. Wenn die Lethargie der Entscheidungsebene bei der Priorisierung von Fehlern ein Problem ist, ist sie das ganz sicher auch bei deren Behebung - die Priorisierung kostet erst mal noch nichts ...

    Außerdem ist die Geschwindigkeit der Behebung in erster eine Funktion der Komplexität einer Software und ihres Einsatzes, sowie des Entwicklungsprozesses und dessen Flexibilität bezüglich solcher Änderungen. Da ich auf Seiten Datenintegration arbeite, habe ich auch nicht sonderlich viel direkt mit Web Servern zu tun, aber eine neue Software Version ist idR. kein Fix, und für viele Anwendungen auch keine Option. Man kann offensichtlich nicht einfach Oracle 12 über ein laufendes Oracle 10 installieren, um mal eben schnell in zwei Wochen einen Bugfix in die Produktion schieben. Im Sinne von Opensource gilt das auch für MySQL u.ä. und es scheint mir äußerst zweifelhaft, dass das für einen Webserver anders sein könnte ...

  5. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:24

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet
    > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von
    > OpenSource, die Transparenz als wirkungslos heraus?
    >
    > Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben
    > muss, den man bei gekaufter Software teilweise dazu bekommt. Naja...wobei
    > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger weil
    > es um OpenSource geht.
    >
    > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die Jahrelang
    > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für NSA
    > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    Again, wie so oft: Open Source ist keine Garantie gegen Sicherheitslücken. Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert? Ich sag nur EternalBlue.

    Natürlich sichert Open Source nicht davor. Deswegen proprietäre Software zu wählen ist aber den Teufel gegen den beezelbub austauschen.

  6. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:26

    devman schrieb:
    --------------------------------------------------------------------------------
    > Es ist nicht nur Open Source, es ist auch unter einer freien Lizenz.
    >
    Nenn mir eine Lizenz die OS aber nicht frei ist oder umgekehrt.

  7. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:29

    .02 Cents schrieb:
    --------------------------------------------------------------------------------
    > Da ich auf Seiten Datenintegration arbeite, habe ich auch nicht sonderlich
    > viel direkt mit Web Servern zu tun, aber eine neue Software Version ist
    > idR. kein Fix, und für viele Anwendungen auch keine Option. Man kann
    > offensichtlich nicht einfach Oracle 12 über ein laufendes Oracle 10
    > installieren, um mal eben schnell in zwei Wochen einen Bugfix in die
    > Produktion schieben. Im Sinne von Opensource gilt das auch für MySQL u.ä.
    > und es scheint mir äußerst zweifelhaft, dass das für einen Webserver anders
    > sein könnte ...
    Aber Oracle wird ja auch für Version 10 einen Sicherheitspatch nachschieben, wenn sie die Version noch supporten. Und bei OSS ist das nicht anders. Es ist sogar so, dass ein Patch von Dritten zurückportiert werden kann (was Debian tut) oder sogar ein Patch von Dritten angefertigt werden kann. Bei proprietärer Software ist man da immer auf den Hersteller angewiesen.

  8. Re: Open Source und Public review?

    Autor: S-Talker 21.09.17 - 13:58

    mnementh schrieb:
    --------------------------------------------------------------------------------
    > chefin schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet
    > > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von
    > > OpenSource, die Transparenz als wirkungslos heraus?
    > >
    > > Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben
    > > muss, den man bei gekaufter Software teilweise dazu bekommt.
    > Naja...wobei
    > > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger
    > weil
    > > es um OpenSource geht.
    > >
    > > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die
    > Jahrelang
    > > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für
    > NSA
    > > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    > Again, wie so oft: Open Source ist keine Garantie gegen Sicherheitslücken.
    > Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert?

    Dieser Bug wurde nicht durch Code-Review gefunden.

  9. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 15:52

    S-Talker schrieb:
    --------------------------------------------------------------------------------
    > mnementh schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > chefin schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso
    > findet
    > > > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument
    > von
    > > > OpenSource, die Transparenz als wirkungslos heraus?
    > > >
    > > > Wo liegen den dann noch die Vorteile, wenn man Support seperat
    > erwerben
    > > > muss, den man bei gekaufter Software teilweise dazu bekommt.
    > > Naja...wobei
    > > > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > > > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger
    > > weil
    > > > es um OpenSource geht.
    > > >
    > > > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die
    > > Jahrelang
    > > > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre
    > für
    > > NSA
    > > > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > > > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    > > Again, wie so oft: Open Source ist keine Garantie gegen
    > Sicherheitslücken.
    > > Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert?
    >
    > Dieser Bug wurde nicht durch Code-Review gefunden.
    Andere wurden. Es ist was ich sage: Bei Open Source funktionieren die Wege proprietärer Software um Bugs zu entdecken ja auch. Nur zusätzlich mehr.

    Zudem ist es einfacher einen Bug klarer einzugrenzen, wenn man in den Source schauen kann. Anfangs hat man vielleicht einen Fehler, der nicht nachvollziehbar manchmal auftritt. Unter Umständen ist nicht einmal klar welche Software beteiligt ist. In den Quellcode zu schauen um mögliche Parameter zur Reproduktion des Fehlers zu finden ist sehr hilfreich.

  10. Re: Open Source und Public review?

    Autor: ello 21.09.17 - 16:37

    https://en.wikipedia.org/wiki/NASA_Open_Source_Agreement

    Hier gibts ne Matrix
    https://en.wikipedia.org/wiki/Comparison_of_free_and_open-source_software_licenses#Approvals

    Vergleiche z.B. FSF und OSI Spalte. Wenn die nicht übereinstimmen, haste dein gewünschtes Szenario (oberflächlich betrachtet)



    2 mal bearbeitet, zuletzt am 21.09.17 16:41 durch ello.

  11. Re: Open Source und Public review?

    Autor: mnementh 22.09.17 - 10:43

    ello schrieb:
    --------------------------------------------------------------------------------
    > en.wikipedia.org
    >
    Hier gibt es eine Differenz zwischen der OSI und der FSF, wie die entsprechende Klausel zu verstehen ist. Also da steht, dass der Contributor (ich übersetze das mal nicht, da hier der Hase im Pfeffer liegt) nach bestem Gewissen die Änderungen als seine eigenen ansieht.

    Nun die Situation: Wenn Person A Code schreibt und unter einer OS-Lizenz freigibt und Person B fügt diesen in eine Software unter der NASA-Lizenz ein, wer ist der Contributor? Wenn dies Person A ist, dann entspricht die Lizenz sowohl der Free Software Definition als auch der Open Source Definition. Ist es Person B, so darf diese Kombination legal nicht durchgeführt werden. Damit wäre es ein Verstoß gegen Freiheit 3 der Free Software Definition und gegen Punkt 3 und 4 der Open-Source-Definition. Welche Interpretation ist zutreffend? Nun, das wissen wir nicht bis ein Gericht es entscheidet.

    Aber welche Interpretation auch zutrifft, entweder ist die Lizenz sowohl frei als auch Open Source oder keines von beiden.

    > Hier gibts ne Matrix
    > en.wikipedia.org#Approvals
    >
    > Vergleiche z.B. FSF und OSI Spalte. Wenn die nicht übereinstimmen, haste
    > dein gewünschtes Szenario (oberflächlich betrachtet)
    Approval ist nicht ausreichend, da viele Gründe zum Entzug desselben führen. Beispiel Artistic License, die FSF sagt:
    "The original version of the Artistic License is defined as non-free because it is overly vague, not because of the substance of the license. The FSF encourages projects to use the Clarified Artistic License instead."
    Also die Aussage ist nicht, dass die Lizenz im Wiederspruch zur Definition freier Software steht, sondern dass sie zu unklar ist. Gerichte hätten letzlich zu klären was zutreffend ist.

    Mithin sehe ich kein Beispiel was im Widerspruch zu einer der beiden Definitionen steht aber die andere erfüllt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Deloitte, verschiedene Standorte
  2. Bechtle IT-Systemhaus GmbH, Düsseldorf, Krefeld
  3. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  4. Bosch Service Solutions Magdeburg GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 7,99€
  2. 19,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

  1. Spieleklassiker: Mafia digital bei GoG erhältlich
    Spieleklassiker
    Mafia digital bei GoG erhältlich

    Wer bisher den ersten Mafia-Teil mit einem aktuellen Windows-Betriebssystem am PC spielen wollte, benötigte eine spezielle DVD- oder die nicht mehr verfügbare Steam-Version. Bei GoG gibt es nun eine DRM-freie Ausgabe des Spieleklassikers, wenngleich einzig in Englisch und ohne die stimmungsvolle 30er-Jahre-Musik.

  2. Air-Berlin-Insolvenz: Bundesbeamte müssen videotelefonieren statt zu fliegen
    Air-Berlin-Insolvenz
    Bundesbeamte müssen videotelefonieren statt zu fliegen

    Die Air-Berlin-Pleite sorgt gezwungenermaßen für ein Umdenken in der Verwaltung. Statt teurer und nun auch langwieriger Dienstreisen per Zug sollen die Beamten mehr Videokonferenzen abhalten. Unumstritten ist der Einsatz von modernen Kommunikationsmethoden jedoch keineswegs.

  3. Fraport: Autonomer Bus im dichten Verkehr auf dem Flughafen
    Fraport
    Autonomer Bus im dichten Verkehr auf dem Flughafen

    Die R+V-Versicherung und Fraport testen auf dem Gelände Flughafen Frankfurt einen kleinen autonomen Elektrobus, der nicht etwa auf einem abgesperrten Gelände, sondern auf einer belebten Straße fährt. Dabei handelt es sich allerdings nicht um eine öffentliche Straße.


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00