Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apache-Sicherheitslücke: Optionsbleed…

Open Source und Public review?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Open Source und Public review?

    Autor: chefin 21.09.17 - 07:17

    Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von OpenSource, die Transparenz als wirkungslos heraus?

    Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben muss, den man bei gekaufter Software teilweise dazu bekommt. Naja...wobei bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel Support mitbringen kann. Und OpenSource Supporter sind nicht billiger weil es um OpenSource geht.

    Ich bin mir sicher, man kann nette Hintertürchen reinbringen die Jahrelang keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für NSA dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre wechseln. Nicht das doch mal einer zufällig drüber stolpert.

  2. Re: Open Source und Public review?

    Autor: Neutrinoseuche 21.09.17 - 07:56

    Bei Fehlerbereinigungen wird priorisiert. Kleinere und unwichtig erscheinende Fehler werden hintenangestellt. Wenn damals kein PoC vorlag, dann wurde dadurch die schwere dieses Fehlers falsch eingeschätzt. Außerdem nützen Public Reviews relativ wenig, wenn darauf nicht reagiert wird. Bei manchen Personen in der Entscheidungsebene gibt es eine gewisse Lethargie. :)

    Die Frage ist eigentlich nur wie schnell jetzt ein Fix kommt. Die letzte Version (2.4.27) erschien am 09.07.2017. Ich gehe davon aus, dass noch diese oder nächste Woche ein Bugfix bereitsteht. Das ist nämlich genau der Vorteil von Open Source. Es kann schnell auf kritische Fehler reagiert werden. Man muss sich nicht durch lange Strukturen hangeln, sich nicht nach Patchdays richten und muss keine Fehler für Behörden geheimhalten.



    2 mal bearbeitet, zuletzt am 21.09.17 07:59 durch Neutrinoseuche.

  3. Re: Open Source und Public review?

    Autor: devman 21.09.17 - 08:18

    Es ist nicht nur Open Source, es ist auch unter einer freien Lizenz.

    Open Source hat weitere Vorteile:
    - man lernt von anderer Leute Code
    - man hat ein geringeres Risiko beim Wegfall des Herstellers
    - man selbst wird besseren und sauberen Code abliefern oder blamed
    - Entwicklungskräfte werden gebündelt, besonders in Zeiten des Fachkräftemangels sollte man mehr auf die gemeinsame Entwicklung von grundlegene Frameworks setzten.

  4. Re: Open Source und Public review?

    Autor: .02 Cents 21.09.17 - 08:40

    > manchen Personen in der Entscheidungsebene gibt es eine gewisse Lethargie.

    Der König ist tot, lang lebe der König ... oder anders: wenn das Prinzip versagt hat, liegt es doch nicht am Prinzip?

    > diese oder nächste Woche ein Bugfix bereitsteht. Das ist nämlich genau der
    > Vorteil von Open Source. Es kann schnell auf kritische Fehler reagiert

    Das ist offensichtlicher Unsinn. Wenn die Lethargie der Entscheidungsebene bei der Priorisierung von Fehlern ein Problem ist, ist sie das ganz sicher auch bei deren Behebung - die Priorisierung kostet erst mal noch nichts ...

    Außerdem ist die Geschwindigkeit der Behebung in erster eine Funktion der Komplexität einer Software und ihres Einsatzes, sowie des Entwicklungsprozesses und dessen Flexibilität bezüglich solcher Änderungen. Da ich auf Seiten Datenintegration arbeite, habe ich auch nicht sonderlich viel direkt mit Web Servern zu tun, aber eine neue Software Version ist idR. kein Fix, und für viele Anwendungen auch keine Option. Man kann offensichtlich nicht einfach Oracle 12 über ein laufendes Oracle 10 installieren, um mal eben schnell in zwei Wochen einen Bugfix in die Produktion schieben. Im Sinne von Opensource gilt das auch für MySQL u.ä. und es scheint mir äußerst zweifelhaft, dass das für einen Webserver anders sein könnte ...

  5. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:24

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet
    > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von
    > OpenSource, die Transparenz als wirkungslos heraus?
    >
    > Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben
    > muss, den man bei gekaufter Software teilweise dazu bekommt. Naja...wobei
    > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger weil
    > es um OpenSource geht.
    >
    > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die Jahrelang
    > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für NSA
    > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    Again, wie so oft: Open Source ist keine Garantie gegen Sicherheitslücken. Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert? Ich sag nur EternalBlue.

    Natürlich sichert Open Source nicht davor. Deswegen proprietäre Software zu wählen ist aber den Teufel gegen den beezelbub austauschen.

  6. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:26

    devman schrieb:
    --------------------------------------------------------------------------------
    > Es ist nicht nur Open Source, es ist auch unter einer freien Lizenz.
    >
    Nenn mir eine Lizenz die OS aber nicht frei ist oder umgekehrt.

  7. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:29

    .02 Cents schrieb:
    --------------------------------------------------------------------------------
    > Da ich auf Seiten Datenintegration arbeite, habe ich auch nicht sonderlich
    > viel direkt mit Web Servern zu tun, aber eine neue Software Version ist
    > idR. kein Fix, und für viele Anwendungen auch keine Option. Man kann
    > offensichtlich nicht einfach Oracle 12 über ein laufendes Oracle 10
    > installieren, um mal eben schnell in zwei Wochen einen Bugfix in die
    > Produktion schieben. Im Sinne von Opensource gilt das auch für MySQL u.ä.
    > und es scheint mir äußerst zweifelhaft, dass das für einen Webserver anders
    > sein könnte ...
    Aber Oracle wird ja auch für Version 10 einen Sicherheitspatch nachschieben, wenn sie die Version noch supporten. Und bei OSS ist das nicht anders. Es ist sogar so, dass ein Patch von Dritten zurückportiert werden kann (was Debian tut) oder sogar ein Patch von Dritten angefertigt werden kann. Bei proprietärer Software ist man da immer auf den Hersteller angewiesen.

  8. Re: Open Source und Public review?

    Autor: S-Talker 21.09.17 - 13:58

    mnementh schrieb:
    --------------------------------------------------------------------------------
    > chefin schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet
    > > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von
    > > OpenSource, die Transparenz als wirkungslos heraus?
    > >
    > > Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben
    > > muss, den man bei gekaufter Software teilweise dazu bekommt.
    > Naja...wobei
    > > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger
    > weil
    > > es um OpenSource geht.
    > >
    > > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die
    > Jahrelang
    > > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für
    > NSA
    > > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    > Again, wie so oft: Open Source ist keine Garantie gegen Sicherheitslücken.
    > Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert?

    Dieser Bug wurde nicht durch Code-Review gefunden.

  9. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 15:52

    S-Talker schrieb:
    --------------------------------------------------------------------------------
    > mnementh schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > chefin schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso
    > findet
    > > > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument
    > von
    > > > OpenSource, die Transparenz als wirkungslos heraus?
    > > >
    > > > Wo liegen den dann noch die Vorteile, wenn man Support seperat
    > erwerben
    > > > muss, den man bei gekaufter Software teilweise dazu bekommt.
    > > Naja...wobei
    > > > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > > > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger
    > > weil
    > > > es um OpenSource geht.
    > > >
    > > > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die
    > > Jahrelang
    > > > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre
    > für
    > > NSA
    > > > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > > > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    > > Again, wie so oft: Open Source ist keine Garantie gegen
    > Sicherheitslücken.
    > > Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert?
    >
    > Dieser Bug wurde nicht durch Code-Review gefunden.
    Andere wurden. Es ist was ich sage: Bei Open Source funktionieren die Wege proprietärer Software um Bugs zu entdecken ja auch. Nur zusätzlich mehr.

    Zudem ist es einfacher einen Bug klarer einzugrenzen, wenn man in den Source schauen kann. Anfangs hat man vielleicht einen Fehler, der nicht nachvollziehbar manchmal auftritt. Unter Umständen ist nicht einmal klar welche Software beteiligt ist. In den Quellcode zu schauen um mögliche Parameter zur Reproduktion des Fehlers zu finden ist sehr hilfreich.

  10. Re: Open Source und Public review?

    Autor: ello 21.09.17 - 16:37

    https://en.wikipedia.org/wiki/NASA_Open_Source_Agreement

    Hier gibts ne Matrix
    https://en.wikipedia.org/wiki/Comparison_of_free_and_open-source_software_licenses#Approvals

    Vergleiche z.B. FSF und OSI Spalte. Wenn die nicht übereinstimmen, haste dein gewünschtes Szenario (oberflächlich betrachtet)



    2 mal bearbeitet, zuletzt am 21.09.17 16:41 durch ello.

  11. Re: Open Source und Public review?

    Autor: mnementh 22.09.17 - 10:43

    ello schrieb:
    --------------------------------------------------------------------------------
    > en.wikipedia.org
    >
    Hier gibt es eine Differenz zwischen der OSI und der FSF, wie die entsprechende Klausel zu verstehen ist. Also da steht, dass der Contributor (ich übersetze das mal nicht, da hier der Hase im Pfeffer liegt) nach bestem Gewissen die Änderungen als seine eigenen ansieht.

    Nun die Situation: Wenn Person A Code schreibt und unter einer OS-Lizenz freigibt und Person B fügt diesen in eine Software unter der NASA-Lizenz ein, wer ist der Contributor? Wenn dies Person A ist, dann entspricht die Lizenz sowohl der Free Software Definition als auch der Open Source Definition. Ist es Person B, so darf diese Kombination legal nicht durchgeführt werden. Damit wäre es ein Verstoß gegen Freiheit 3 der Free Software Definition und gegen Punkt 3 und 4 der Open-Source-Definition. Welche Interpretation ist zutreffend? Nun, das wissen wir nicht bis ein Gericht es entscheidet.

    Aber welche Interpretation auch zutrifft, entweder ist die Lizenz sowohl frei als auch Open Source oder keines von beiden.

    > Hier gibts ne Matrix
    > en.wikipedia.org#Approvals
    >
    > Vergleiche z.B. FSF und OSI Spalte. Wenn die nicht übereinstimmen, haste
    > dein gewünschtes Szenario (oberflächlich betrachtet)
    Approval ist nicht ausreichend, da viele Gründe zum Entzug desselben führen. Beispiel Artistic License, die FSF sagt:
    "The original version of the Artistic License is defined as non-free because it is overly vague, not because of the substance of the license. The FSF encourages projects to use the Clarified Artistic License instead."
    Also die Aussage ist nicht, dass die Lizenz im Wiederspruch zur Definition freier Software steht, sondern dass sie zu unklar ist. Gerichte hätten letzlich zu klären was zutreffend ist.

    Mithin sehe ich kein Beispiel was im Widerspruch zu einer der beiden Definitionen steht aber die andere erfüllt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Nuuk GmbH, Hamburg
  2. Robert Bosch GmbH, Plochingen
  3. Deutsche Hypothekenbank AG, Hannover
  4. Bosch Software Innovations GmbH, Waiblingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-10%) 53,99€
  2. (-55%) 17,99€
  3. (-3%) 33,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Fuso eCanter Daimler liefert erste Elektro-Lkw aus
  2. Sattelschlepper Thor ET-One soll Teslas Elektro-Lkw Konkurrenz machen
  3. Einkaufen und Laden Kostenlose Elektroauto-Ladesäulen mit 50 kW bei Kaufland

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. HTTPS: Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen
    HTTPS
    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

    Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let's Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind.

  2. Antec P110 Silent: Gedämmter Midi-Tower hat austauschbare Staubfilter
    Antec P110 Silent
    Gedämmter Midi-Tower hat austauschbare Staubfilter

    Antecs neuer Midi-Tower trägt den Namen P110 Silent nicht umsonst: Das Aluminiumgehäuse ist ab Werk gedämmt. Es lassen sich viele verschiedene Lüfter einbauen. Austauschbare Filter sollen derweil für ein staubfreies Inneres sorgen.

  3. Pilotprojekt am Südkreuz: De Maizière plant breiten Einsatz von Gesichtserkennung
    Pilotprojekt am Südkreuz
    De Maizière plant breiten Einsatz von Gesichtserkennung

    Die Bundesregierung ist sehr zufrieden mit der automatisierten Gesichtserkennung am Berliner Bahnhof Südkreuz. Nun soll der Test um sechs Monate verlängert werden.


  1. 17:47

  2. 17:38

  3. 16:17

  4. 15:50

  5. 15:25

  6. 15:04

  7. 14:22

  8. 13:00