1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apache-Sicherheitslücke: Optionsbleed…

Open Source und Public review?

  1. Thema

Neues Thema Ansicht wechseln


  1. Open Source und Public review?

    Autor: chefin 21.09.17 - 07:17

    Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von OpenSource, die Transparenz als wirkungslos heraus?

    Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben muss, den man bei gekaufter Software teilweise dazu bekommt. Naja...wobei bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel Support mitbringen kann. Und OpenSource Supporter sind nicht billiger weil es um OpenSource geht.

    Ich bin mir sicher, man kann nette Hintertürchen reinbringen die Jahrelang keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für NSA dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre wechseln. Nicht das doch mal einer zufällig drüber stolpert.

  2. Re: Open Source und Public review?

    Autor: Neutrinoseuche 21.09.17 - 07:56

    Bei Fehlerbereinigungen wird priorisiert. Kleinere und unwichtig erscheinende Fehler werden hintenangestellt. Wenn damals kein PoC vorlag, dann wurde dadurch die schwere dieses Fehlers falsch eingeschätzt. Außerdem nützen Public Reviews relativ wenig, wenn darauf nicht reagiert wird. Bei manchen Personen in der Entscheidungsebene gibt es eine gewisse Lethargie. :)

    Die Frage ist eigentlich nur wie schnell jetzt ein Fix kommt. Die letzte Version (2.4.27) erschien am 09.07.2017. Ich gehe davon aus, dass noch diese oder nächste Woche ein Bugfix bereitsteht. Das ist nämlich genau der Vorteil von Open Source. Es kann schnell auf kritische Fehler reagiert werden. Man muss sich nicht durch lange Strukturen hangeln, sich nicht nach Patchdays richten und muss keine Fehler für Behörden geheimhalten.



    2 mal bearbeitet, zuletzt am 21.09.17 07:59 durch Neutrinoseuche.

  3. Re: Open Source und Public review?

    Autor: devman 21.09.17 - 08:18

    Es ist nicht nur Open Source, es ist auch unter einer freien Lizenz.

    Open Source hat weitere Vorteile:
    - man lernt von anderer Leute Code
    - man hat ein geringeres Risiko beim Wegfall des Herstellers
    - man selbst wird besseren und sauberen Code abliefern oder blamed
    - Entwicklungskräfte werden gebündelt, besonders in Zeiten des Fachkräftemangels sollte man mehr auf die gemeinsame Entwicklung von grundlegene Frameworks setzten.

  4. Re: Open Source und Public review?

    Autor: .02 Cents 21.09.17 - 08:40

    > manchen Personen in der Entscheidungsebene gibt es eine gewisse Lethargie.

    Der König ist tot, lang lebe der König ... oder anders: wenn das Prinzip versagt hat, liegt es doch nicht am Prinzip?

    > diese oder nächste Woche ein Bugfix bereitsteht. Das ist nämlich genau der
    > Vorteil von Open Source. Es kann schnell auf kritische Fehler reagiert

    Das ist offensichtlicher Unsinn. Wenn die Lethargie der Entscheidungsebene bei der Priorisierung von Fehlern ein Problem ist, ist sie das ganz sicher auch bei deren Behebung - die Priorisierung kostet erst mal noch nichts ...

    Außerdem ist die Geschwindigkeit der Behebung in erster eine Funktion der Komplexität einer Software und ihres Einsatzes, sowie des Entwicklungsprozesses und dessen Flexibilität bezüglich solcher Änderungen. Da ich auf Seiten Datenintegration arbeite, habe ich auch nicht sonderlich viel direkt mit Web Servern zu tun, aber eine neue Software Version ist idR. kein Fix, und für viele Anwendungen auch keine Option. Man kann offensichtlich nicht einfach Oracle 12 über ein laufendes Oracle 10 installieren, um mal eben schnell in zwei Wochen einen Bugfix in die Produktion schieben. Im Sinne von Opensource gilt das auch für MySQL u.ä. und es scheint mir äußerst zweifelhaft, dass das für einen Webserver anders sein könnte ...

  5. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:24

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet
    > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von
    > OpenSource, die Transparenz als wirkungslos heraus?
    >
    > Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben
    > muss, den man bei gekaufter Software teilweise dazu bekommt. Naja...wobei
    > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger weil
    > es um OpenSource geht.
    >
    > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die Jahrelang
    > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für NSA
    > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    Again, wie so oft: Open Source ist keine Garantie gegen Sicherheitslücken. Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert? Ich sag nur EternalBlue.

    Natürlich sichert Open Source nicht davor. Deswegen proprietäre Software zu wählen ist aber den Teufel gegen den beezelbub austauschen.

  6. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:26

    devman schrieb:
    --------------------------------------------------------------------------------
    > Es ist nicht nur Open Source, es ist auch unter einer freien Lizenz.
    >
    Nenn mir eine Lizenz die OS aber nicht frei ist oder umgekehrt.

  7. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 12:29

    .02 Cents schrieb:
    --------------------------------------------------------------------------------
    > Da ich auf Seiten Datenintegration arbeite, habe ich auch nicht sonderlich
    > viel direkt mit Web Servern zu tun, aber eine neue Software Version ist
    > idR. kein Fix, und für viele Anwendungen auch keine Option. Man kann
    > offensichtlich nicht einfach Oracle 12 über ein laufendes Oracle 10
    > installieren, um mal eben schnell in zwei Wochen einen Bugfix in die
    > Produktion schieben. Im Sinne von Opensource gilt das auch für MySQL u.ä.
    > und es scheint mir äußerst zweifelhaft, dass das für einen Webserver anders
    > sein könnte ...
    Aber Oracle wird ja auch für Version 10 einen Sicherheitspatch nachschieben, wenn sie die Version noch supporten. Und bei OSS ist das nicht anders. Es ist sogar so, dass ein Patch von Dritten zurückportiert werden kann (was Debian tut) oder sogar ein Patch von Dritten angefertigt werden kann. Bei proprietärer Software ist man da immer auf den Hersteller angewiesen.

  8. Re: Open Source und Public review?

    Autor: S-Talker 21.09.17 - 13:58

    mnementh schrieb:
    --------------------------------------------------------------------------------
    > chefin schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso findet
    > > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument von
    > > OpenSource, die Transparenz als wirkungslos heraus?
    > >
    > > Wo liegen den dann noch die Vorteile, wenn man Support seperat erwerben
    > > muss, den man bei gekaufter Software teilweise dazu bekommt.
    > Naja...wobei
    > > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger
    > weil
    > > es um OpenSource geht.
    > >
    > > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die
    > Jahrelang
    > > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre für
    > NSA
    > > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    > Again, wie so oft: Open Source ist keine Garantie gegen Sicherheitslücken.
    > Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert?

    Dieser Bug wurde nicht durch Code-Review gefunden.

  9. Re: Open Source und Public review?

    Autor: mnementh 21.09.17 - 15:52

    S-Talker schrieb:
    --------------------------------------------------------------------------------
    > mnementh schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > chefin schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Wenn OpenSource doch von so vielen Menschen angeschaut wird wieso
    > findet
    > > > dann keiner etwas? Wieso stellt sich ausgerechnet das Hauptargument
    > von
    > > > OpenSource, die Transparenz als wirkungslos heraus?
    > > >
    > > > Wo liegen den dann noch die Vorteile, wenn man Support seperat
    > erwerben
    > > > muss, den man bei gekaufter Software teilweise dazu bekommt.
    > > Naja...wobei
    > > > bei 100Euro/std IT-Sätzen eine 200 Euro Software nicht übermässig viel
    > > > Support mitbringen kann. Und OpenSource Supporter sind nicht billiger
    > > weil
    > > > es um OpenSource geht.
    > > >
    > > > Ich bin mir sicher, man kann nette Hintertürchen reinbringen die
    > > Jahrelang
    > > > keine Sau bemerkt. Man darf nur nicht in den Kommentaren Hintertüre
    > für
    > > NSA
    > > > dran schreiben, dann entdeckt das keiner. Und vieleicht alle 5 Jahre
    > > > wechseln. Nicht das doch mal einer zufällig drüber stolpert.
    > > Again, wie so oft: Open Source ist keine Garantie gegen
    > Sicherheitslücken.
    > > Aber wie lange hätte die Entdeckung bei proprietärer Software gedauert?
    >
    > Dieser Bug wurde nicht durch Code-Review gefunden.
    Andere wurden. Es ist was ich sage: Bei Open Source funktionieren die Wege proprietärer Software um Bugs zu entdecken ja auch. Nur zusätzlich mehr.

    Zudem ist es einfacher einen Bug klarer einzugrenzen, wenn man in den Source schauen kann. Anfangs hat man vielleicht einen Fehler, der nicht nachvollziehbar manchmal auftritt. Unter Umständen ist nicht einmal klar welche Software beteiligt ist. In den Quellcode zu schauen um mögliche Parameter zur Reproduktion des Fehlers zu finden ist sehr hilfreich.

  10. Re: Open Source und Public review?

    Autor: ello 21.09.17 - 16:37

    https://en.wikipedia.org/wiki/NASA_Open_Source_Agreement

    Hier gibts ne Matrix
    https://en.wikipedia.org/wiki/Comparison_of_free_and_open-source_software_licenses#Approvals

    Vergleiche z.B. FSF und OSI Spalte. Wenn die nicht übereinstimmen, haste dein gewünschtes Szenario (oberflächlich betrachtet)



    2 mal bearbeitet, zuletzt am 21.09.17 16:41 durch ello.

  11. Re: Open Source und Public review?

    Autor: mnementh 22.09.17 - 10:43

    ello schrieb:
    --------------------------------------------------------------------------------
    > en.wikipedia.org
    >
    Hier gibt es eine Differenz zwischen der OSI und der FSF, wie die entsprechende Klausel zu verstehen ist. Also da steht, dass der Contributor (ich übersetze das mal nicht, da hier der Hase im Pfeffer liegt) nach bestem Gewissen die Änderungen als seine eigenen ansieht.

    Nun die Situation: Wenn Person A Code schreibt und unter einer OS-Lizenz freigibt und Person B fügt diesen in eine Software unter der NASA-Lizenz ein, wer ist der Contributor? Wenn dies Person A ist, dann entspricht die Lizenz sowohl der Free Software Definition als auch der Open Source Definition. Ist es Person B, so darf diese Kombination legal nicht durchgeführt werden. Damit wäre es ein Verstoß gegen Freiheit 3 der Free Software Definition und gegen Punkt 3 und 4 der Open-Source-Definition. Welche Interpretation ist zutreffend? Nun, das wissen wir nicht bis ein Gericht es entscheidet.

    Aber welche Interpretation auch zutrifft, entweder ist die Lizenz sowohl frei als auch Open Source oder keines von beiden.

    > Hier gibts ne Matrix
    > en.wikipedia.org#Approvals
    >
    > Vergleiche z.B. FSF und OSI Spalte. Wenn die nicht übereinstimmen, haste
    > dein gewünschtes Szenario (oberflächlich betrachtet)
    Approval ist nicht ausreichend, da viele Gründe zum Entzug desselben führen. Beispiel Artistic License, die FSF sagt:
    "The original version of the Artistic License is defined as non-free because it is overly vague, not because of the substance of the license. The FSF encourages projects to use the Clarified Artistic License instead."
    Also die Aussage ist nicht, dass die Lizenz im Wiederspruch zur Definition freier Software steht, sondern dass sie zu unklar ist. Gerichte hätten letzlich zu klären was zutreffend ist.

    Mithin sehe ich kein Beispiel was im Widerspruch zu einer der beiden Definitionen steht aber die andere erfüllt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deutsches Rotes Kreuz Landesverband Rheinland-Pfalz, Mainz
  2. Arnold & Richter Cine Technik GmbH & Co. Betriebs KG, Rosenheim
  3. SIZ GmbH, Bonn
  4. IKOR AG, Essen, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 38,00€ (bei ubi.com)
  2. 319,00€ (Bestpreis)
  3. 31,49€
  4. (u. a. Die Siedler History Collection 19,99€, Anno 1800 Gold Edition für 38,00€, Tom Clancy's...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Autohersteller Maserati will Elektroautos mit besonderem Sound ausstatten
  2. Elektroauto-Prämie Regierung liefert Brüssel erste Daten zu neuem Umweltbonus
  3. Zulieferprobleme Audi will E-Tron-Produktion in Brüssel kürzen

Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Computerlinguistik: Bordstein Sie Ihre Erwartung!
Computerlinguistik
"Bordstein Sie Ihre Erwartung!"

Ob Google, Microsoft oder Amazon: Unternehmen befinden sich im internationalen Wettlauf um die treffendsten Übersetzungen. Kontext-Integration, Datenmangel in kleinen Sprachen sowie fehlende Experten für Machine Learning und Sprachverarbeitung sind dabei immer noch die größten Hürden.
Ein Bericht von Maja Hoock

  1. OpenAI Roboterarm löst Zauberwürfel einhändig
  2. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

  1. Bundesverwaltungsgericht: Linksunten bleibt verboten
    Bundesverwaltungsgericht
    Linksunten bleibt verboten

    Die linke Medienplattform linksunten.indymedia.org bleibt verboten. Das Bundesverwaltungsgericht hat eine entsprechende Klage gegen das Verbot als unbegründet abgewiesen.

  2. China: Huawei weist Bericht zu Geheimdienstzusammenarbeit zurück
    China
    Huawei weist Bericht zu Geheimdienstzusammenarbeit zurück

    Seit Dezember soll es ein geheimes Papier des Auswärtigen Amts geben, das mit US-Quellen eine Zusammenarbeit Huaweis mit dem chinesischen Staatsapparat belegt. Doch das passt nicht zu den Aussagen britischer Geheimdienste und der Bundesregierung.

  3. Zehntes Jubiläum: Auch Microsoft hat das erste iPad überrascht
    Zehntes Jubiläum
    Auch Microsoft hat das erste iPad überrascht

    In einem ausführlichen Bericht blickt der ehemalige Windows-Chef Steven Sinofsky auf das erste iPad zurück. Die Medien und die Branche selbst ahnten vor zehn Jahren nicht, was für ein Produkt es letztlich sein sollte und dass es überhaupt nicht den damaligen Vorstellungen entsprach.


  1. 20:51

  2. 18:07

  3. 17:52

  4. 17:07

  5. 14:59

  6. 14:41

  7. 14:22

  8. 14:01