1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Log4Shell: BSI vergibt höchste…

Der Typ tut mir leid

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema


  1. Der Typ tut mir leid

    Autor: luke93 12.12.21 - 12:09

    Was da jetzt alles auf den Maintainer einprasselt, ohne dass er jemals einen finanziellen Nutzen davon gehabt hätte.

  2. Re: Der Typ tut mir leid

    Autor: Shred 12.12.21 - 12:33

    luke93 schrieb:
    --------------------------------------------------------------------------------
    > Was da jetzt alles auf den Maintainer einprasselt, ohne dass er jemals
    > einen finanziellen Nutzen davon gehabt hätte.

    Das ärgert mich mit Abstand am meisten an der ganzen Geschichte.

    Firmen bedienen sich gerne am Open Source-Pool. Es ist wunderbar kostenlos, und andere Deppen erledigen für einen die Entwicklungsarbeit. Alle Firmen, bei denen ich bisher gearbeitet habe, profitierten auf die eine oder andere Weise davon. Manche könnten ohne Open Source-Software zusperren, da sich das Geschäftsmodell nicht mehr tragen würde. Trotzdem hielt es keine dieser Firmen bisher für nötig, etwas zurückzugeben.

    Das Mindeste wäre eigentlich, fest angestellte Entwickler, die interessiert sind, für einen Teil der Arbeitszeit freizustellen, damit sie an Open Source-Projekten arbeiten können. Wer keine solche Entwickler hat, könnte den Vereinen und Stiftungen Geld spenden, die Open Source-Entwicklung aktiv vorantreiben.

    Jetzt fliegt das ganze kranke Modell einmal so richtig um die Ohren, und natürlich wird die Schuld beim Entwickler gesucht, nicht etwa beim eigenen Geiz. Alle, die jetzt jammern, sollten sich mal an die eigene Nase fassen und sich fragen, wo sie heute stehen würden, wenn es nicht diese "nützlichen Idioten" gäbe, die in ihrer Freizeit quelloffene Software entwickeln. (Ich bin selbst so ein Idiot, BTW.)

    Es wird höchste Zeit, Open Source-Entwicklung auf solide finanzielle Füße zu stellen. Entwickler, die das gerne hauptberuflich machen möchten, sollten auch davon leben können.

  3. Re: Der Typ tut mir leid

    Autor: Urbautz 12.12.21 - 12:49

    Als Firma sollte man immer Supportverträge abschließen. Aus zwei Gründen: 1. man bekommt Support, 2. Der Entwickler ist vertraglich daran gebunden, Sicherheitsupdates zu liefern.
    Der positive nebeneffekt ist, dass der Entwickler entsprechend davon leben kann.

  4. Re: Der Typ tut mir leid

    Autor: GilBates 12.12.21 - 12:57

    Kein Grund für Mitleid.
    Wer das machen will, muss auch die Konsequenzen tragen. Es wäre ein Unding, anderen ihr Hobby zu finanzieren.
    Die meisten sehr bekannten Projekte dürften sowieso ne Menge Sponsoren haben, wenn sie gut sind.
    Das ist übrigens in der Softwarewelt einmalig. Man erstellt professionelle Produkte, verlangt aber kein Geld dafür. Damit wurden etliche kommerziellen Firmen/Tools natürlich auch die Geschäftsgrundlage entzogen.
    Natürlich, ist alles immateriell.
    man stelle sich vor, man würde eine Enzyklopädie am Markt haben und da käme dann einfach jemand auf die Idee, alles kostenlos zur Verfügung zu stellen. Damit wäre man auch am Ende mit seiner Enzyklopädie.
    Na gut.
    Aber stelle man sich vor, man hätte ein Auto am Markt und dann käme da jemand daher, der ein vergleichbares Auto kostenlos anbieten würde. Würde man auch nicht wollen
    also:
    auf keinen Fall jemandem das Hobby finanzieren.
    und überhaupt kein Grund für Mitleid.
    Der Fix ist ja auch schon fertig, dürfte trivial sein.
    Wie man überhaupt auf die Idee kommt, die Log Library auf eine URL zugreifen zu lassen...

  5. Re: Der Typ tut mir leid

    Autor: Myxin 12.12.21 - 13:04

    Du vergleichst doch bitte nicht ein paar Zeilen Code mit einem fertigen Auto, in welcher Welt wäre das auch nur annähernd ein vergleich? Wer OSS nutz muss auch die Konsequenzen tragen, ich sehe den Entwickler keinesfalls in Bedrängnis. Soll sich jeder um seinen eigenen kram kümmern.

  6. Re: Der Typ tut mir leid

    Autor: GilBates 12.12.21 - 13:24

    ich vergleiche professionelle Produkte.
    Das, was da bei Open Source heutzutage kostenlos ausgegeben wird, hat früher teilweise Tausende von Euro gekostet.
    Kann man schon mit einem Kleinwagen vergleichen.

  7. Re: Der Typ tut mir leid

    Autor: Gole-mAndI 12.12.21 - 13:25

    GilBates schrieb:
    --------------------------------------------------------------------------------
    > Kein Grund für Mitleid.
    > Wer das machen will, muss auch die Konsequenzen tragen. Es wäre ein Unding,
    > anderen ihr Hobby zu finanzieren.

    Dann sollte man sich auch nicht am "Hobby" anderer bereichern. Wie kommt denn bitte das "Hobby" von jemandem in so viele kommerzielle Produkte? Und warum sollte er in seinem "Hobby" Sicherheitslücken fixen? Sollen die Unternehmen den Scheiß doch selbst machen.



    1 mal bearbeitet, zuletzt am 12.12.21 13:26 durch Gole-mAndI.

  8. Re: Der Typ tut mir leid

    Autor: GwhE 12.12.21 - 13:26

    Oh man wollte gerade schreiben, das es wohl jedem der profisionel in diesem berreich unterwegs ist weiß was er tut. Und mitleid wird hier nicht gebraucht, fehler passieren wichtig ist das diese schnell gefixed werden. Bei Closed source wird es viel mehr fehler geben, nur das es keiner (oder sehr wenige) wissen.

    Und maintainer eines Apaches Projekts ist mehr als ein Hobby. Wenn alle Apache projekte morgen nicht mehr funktionieren würden, dann wären wir wieder in der Steinzeit.

    Wichtig ist aus den fehlern lernen und dann so umstellen das diese in zukunft nicht mehr vorkommen.

  9. Re: Der Typ tut mir leid

    Autor: Oktavian 12.12.21 - 13:47

    > Dann sollte man sich auch nicht am "Hobby" anderer bereichern.

    Warum nicht? Es ist doch geradezu sein Wunsch, dass andere das tun, sonst würde er das Hobby doch nicht unter eine FOSS-Lizenz machen.

    > Wie kommt
    > denn bitte das "Hobby" von jemandem in so viele kommerzielle Produkte?

    Weil es gut funktioniert und kostenlos ist.

    > Und
    > warum sollte er in seinem "Hobby" Sicherheitslücken fixen? Sollen die
    > Unternehmen den Scheiß doch selbst machen.

    Das wiederum ist eine gerechtfertigte Forderung. Der Entwickler könnte sich ganz entspannt zurücklehnen und den Scheiß explodieren lassen.

  10. Re: Der Typ tut mir leid

    Autor: Gole-mAndI 12.12.21 - 13:50

    Oktavian schrieb:
    --------------------------------------------------------------------------------
    > > Dann sollte man sich auch nicht am "Hobby" anderer bereichern.
    >
    > Warum nicht? Es ist doch geradezu sein Wunsch, dass andere das tun, sonst
    > würde er das Hobby doch nicht unter eine FOSS-Lizenz machen.
    >
    Absolut falsch. Der Wunsch hinter Open Source ist, dass möglichst viele dazu beitragen. Kommerzielle Unternehmen sind hier explizit gewünscht. Eine Selbstbedienung ohne etwas zurück zu geben ist nicht Teil der Idee.

  11. Re: Der Typ tut mir leid

    Autor: Flexy 12.12.21 - 13:58

    GilBates schrieb:
    --------------------------------------------------------------------------------
    > Kein Grund für Mitleid.
    > Wer das machen will, muss auch die Konsequenzen tragen. Es wäre ein Unding,
    > anderen ihr Hobby zu finanzieren.

    Nicht der Hobbycoder ist hier in der Verantwortung. Der hat schließlich keinerlei Garantie gebeben für irgendwas. Sondern einfach nur seinen Code kostenlos als OpenSource zur Verfügung gestellt.

    Es sind also diejenigen in der Verantwortung, die das Hobbyprojekt ohne genaue Prüfung des Codes und ohne Audit einfach mal in ihre kommerziellen Produkte einbauen.

    Wenn ich ein Auto baue als Hersteller (um mal im Vergleich zu bleiben) kann ich auch einfach die Bremsanlage kopieren, die ein Hobby-Rennfahrer da für sich entwickelt und im Netz veröffentlicht hat, frei für jeden zum Nachbauen. Und spare mir damit die Kosten für die Entwicklung einer eigenen geregelten Bremsanlage.

    Aber wenn dann der Bremskraftregler doch einen Konstruktionsfehler hat und die Bremsen deswegen irgendwann mal versagen, dann ist hier nicht der Hobby-Rennfahrer in der Verantwortung. Dann bin ich als Hersteller in der Verantwortung weil ich vor dem Einsatz einer solchen Bremsregelung in der Serie ganz konkret prüfen muss, dass das Ding auch wirklich sicher ist.

    Open Source heißt nur, dass man den Code in vielen Fällen einfach so kostenlos verwenden kann - aber das heißt nicht, dass es immer sinnvoll ist diesen dann auch zu verwenden. Open Source heißt auch nicht, dass der Code deswegen sicher oder fehlerfrei ist. Das muss ich mir dann immer noch selbst genau anschauen und analysieren. Oder es mir entsprechen garantieren lassen.
    Was aber offensichtlich bei Log4J nicht passiert ist. Das wurde einfach so in die eigene Software eingebaut von sehr vielen Unternehmen und Projekten. Ohne Audit.

  12. Re: Der Typ tut mir leid

    Autor: Kakiss 12.12.21 - 14:25

    GilBates schrieb:
    --------------------------------------------------------------------------------
    > ich vergleiche professionelle Produkte.
    > Das, was da bei Open Source heutzutage kostenlos ausgegeben wird, hat
    > früher teilweise Tausende von Euro gekostet.
    > Kann man schon mit einem Kleinwagen vergleichen.

    Die Welt entwickelt sich weiter und Dinge werden trivial, wo man früher hunderte Weber brauchte, hat es heute eine Maschine die alle ersetzt hat.
    Computer und auch Programmieren ist zugänglicher geworden, man benötigt auch keine raumfüllenden Computer mehr :P

  13. Re: Der Typ tut mir leid

    Autor: Oktavian 12.12.21 - 14:37

    > Absolut falsch. Der Wunsch hinter Open Source ist, dass möglichst viele
    > dazu beitragen. Kommerzielle Unternehmen sind hier explizit gewünscht. Eine
    > Selbstbedienung ohne etwas zurück zu geben ist nicht Teil der Idee.

    In der Lizenz nach GPL steht im wesentlichen, nimm es, integrier es, und was du daraus ableitest, ist wieder GPL. Unter dieser Lizenz steht log4j nicht. Man hat sich für die Apache Lizenz entschieden.

    Kurze Zusammenfassung:
    - Du darfst du Software in jedem Umfeld verwenden und in jedes Projekt integrieren
    - Eine Kopie der Lizenz (oder der Verweis auf die Lizenz) muss dem Paket beiliegen.
    - Du darfst die Software ändern, wie du möchtest und musst nichts an die Community zurückgeben
    - Du darfst eigene Software davon ableiten, die muss nicht unter Apache Lizenz stehen

    Wie passt das jetzt mit dem von Dir gesagten zusammen?

    Ich finde es immer lustig, was man so in die Idee oder den Wunsch alle reininterpretiert.

  14. Re: Der Typ tut mir leid

    Autor: demon driver 12.12.21 - 14:45

    Urbautz schrieb:
    --------------------------------------------------------------------------------
    > Als Firma sollte man immer Supportverträge abschließen. Aus zwei Gründen:
    > 1. man bekommt Support, 2. Der Entwickler ist vertraglich daran gebunden,
    > Sicherheitsupdates zu liefern.
    > Der positive nebeneffekt ist, dass der Entwickler entsprechend davon leben
    > kann.

    Einen Supportvertrag kannst du nur mit jemandem abschließen, der auch Support anbietet. Das dürfte bei den meisten dieser Projekte nicht der Fall sein.

    Außerdem – wenn ich nur mal in ein einziges meiner kleinen java-basierten Privatprojekte schaue, da ist jetzt z.B. ein RSS-Feed-Aggregator als Web-Anwendung, dann hat der schon 30 Abhängigkeiten zu irgendwelchen Open-Source-Libraries dieser Art (inklusive log4j, das ich da auch eben mal auf die neue Version gehoben habe...). Und da müsste man dann bei jedem schauen, ob das eventuell nur ehrenamtlich gepflegt wird, und, falls ja, herauszufinden versuchen, ob und wie man da ggf. einen Supportvertrag kriegen kann und mit wem. Und hätte dann, selbst wenn das zu was führen würde, womöglich für jedes kleine Projekt zig Supportverträge...

    Selbst wenn man das wirklich wollte, wird sich in der Praxis überwiegend als unmöglich herausstellen.



    1 mal bearbeitet, zuletzt am 12.12.21 14:59 durch demon driver.

  15. Re: Der Typ tut mir leid

    Autor: demon driver 12.12.21 - 14:57

    Shred schrieb:
    --------------------------------------------------------------------------------
    > luke93 schrieb:
    > ---------------------------------------------------------------------------
    > > Was da jetzt alles auf den Maintainer einprasselt, ohne dass er jemals
    > > einen finanziellen Nutzen davon gehabt hätte.
    >
    > Das ärgert mich mit Abstand am meisten an der ganzen Geschichte.
    >
    > Firmen bedienen sich gerne am Open Source-Pool. Es ist wunderbar kostenlos,
    > und andere Deppen erledigen für einen die Entwicklungsarbeit [...]

    Hat denn irgendjemand wirklich was anderes erwartet?

    Marktwirtschaft beinhaltet Profitmaximierung und Wachstumszwang, und das impliziert die maximale Ausbeutung aller irgendwie nutzbaren Ressourcen. Wenn Leute was kostenlos für alle zur Verfügung stellen, ist das natürlich ein gefundenes Fressen.

    Der Gedankenfehler der Open-Source-Gemeinde liegt von Anfang an in der Illusion, im falschen Leben (kapitalistische Marktwirtschaft) könnte es ein richtiges geben (freie und offene Software ohne Ausbeutung). Nur Lizenzen, die den kommerziellen Einsatz kostenpflichtig machen, könnten da ein klein wenig abhelfen, gesetzt den Fall, man könnte sie auch durchsetzen. Was bei Inhouse-Projekten, immer noch ein Großteil der real stattfindenden Softwareentwicklung, schon schwierig werden kann.

    > Es wird höchste Zeit, Open Source-Entwicklung auf solide finanzielle Füße
    > zu stellen. Entwickler, die das gerne hauptberuflich machen möchten,
    > sollten auch davon leben können.

    Und wer soll das so einrichten? Das können letztlich nur die Gesetzgeber. Und alle müssten es tun.



    2 mal bearbeitet, zuletzt am 12.12.21 15:02 durch demon driver.

  16. Re: Der Typ tut mir leid

    Autor: Gole-mAndI 12.12.21 - 16:12

    Oktavian schrieb:
    --------------------------------------------------------------------------------
    > > Absolut falsch. Der Wunsch hinter Open Source ist, dass möglichst viele
    > > dazu beitragen. Kommerzielle Unternehmen sind hier explizit gewünscht.
    > Eine
    > > Selbstbedienung ohne etwas zurück zu geben ist nicht Teil der Idee.
    >
    > In der Lizenz nach GPL steht im wesentlichen, nimm es, integrier es, und
    > was du daraus ableitest, ist wieder GPL. Unter dieser Lizenz steht log4j
    > nicht. Man hat sich für die Apache Lizenz entschieden.
    >

    Ich weiß was dort steht. Es ist trotzdem nicht die Idee von Open Source. Ich habe auch das Recht die freiwillige Feuerwehr im Notfall zu rufen, ohne dort selbst tätig zu sein. Aber wer kommt, wenn jeder seine Verantwortung auf das anrufen beschränkt?

  17. Re: Der Typ tut mir leid

    Autor: luke93 12.12.21 - 16:25

    Sehr schöner Vergleich, seh ich ganz genauso.

  18. Re: Der Typ tut mir leid

    Autor: ratti 12.12.21 - 16:27

    Ich nenne es immer, nur halb im Scherz, die „Leck mich am Arsch“-Lizenzen.

    Freie Software ist groß geworden mit GPL mit einer Art „Tauschwirtschaft“, in der die Software nicht verschenkt, sondern „gegen Leistung getauscht“ wird : Veränderung zurückspielen, Verbesserungen in den Upstream etc. — das mag der „Old Economy“ sehr merkwürdig gekommen sein, aber im Grund genommen ist es sauberes Wirtschaften mit einem klassischen Qualitätsbegriff: Wenn, sagenwirmal Amazon, an einem Tool etwas fixt, welches auch an Kunden verkauft wird, dann muss Amazon das zurückspielen, und alle hatten was davon von.

    Dann kamen die „LMAA-Lizenzen“, mit denen ich eingeleitet habe. Verantwortung und Pflichten war ja vielen nicht „frei“ genug, man wollte ungehindert nehmen, machen, behalten. Das Gefüge einer Maintainer-Struktur existiert nicht, nun steht die Software halt so offen in der Gegend rum, und ein Hobbyentwickler muss hier garnix.

    Manchmal wiederholt sich ja Geschichte: Wir haben in Deutschland eine SOZIALE Marktwirtschaft, weil FREIE Marktwirtschaft halt nicht funktioniert hat.

    Ich sehe Freie Software derzeit am Scheideweg. Wenn die „komplett freien“ aka “LMAA“-Lizenzen sich weiter durchsetzen, dann ist es letztlich zu riskant, das einzusetzen - und nicht lukrativ, das zu schreiben.

    Das hat sich die Technik-Community aber selbst zuzuschreiben. Freibier ausgesoffen, Spendenbox ignoriert, und wenn jetzt Plutonium aus der Software raustropft, auch noch verzweifelt nach der Support-Telefonnummer suchen. Nope…

    Das unternehmen wie Amazon Freie Softwarestacks zusammenraffen und vergammeln lassen, muss jetzt auch mal Konsequenzen haben. Mieten und vergessen war mal der Sinn einer Cloud, und das können die SO schlicht nicht bieten.

  19. Re: Der Typ tut mir leid

    Autor: lunarix 12.12.21 - 16:33

    Gole-mAndI schrieb:
    --------------------------------------------------------------------------------

    > Ich weiß was dort steht. Es ist trotzdem nicht die Idee von Open Source.
    > Ich habe auch das Recht die freiwillige Feuerwehr im Notfall zu rufen, ohne
    > dort selbst tätig zu sein. Aber wer kommt, wenn jeder seine Verantwortung
    > auf das anrufen beschränkt?

    In der Regel ist es ja auch ein Geben und Nehmen - das ist meines erachtens die Idee von "Open Source".

    Wenn man nicht will, dass die eigene "Open Source" Software kommerziell genutzt wird, dann muss man eben eine entpsrechende Lizenz wählen. Gibt ja auch genug Sachen, die unter mehreren Lizenzen stehen um genau dieses Problem anzugehen. Nur: wenn ich halt die Apache Lizenz oder eine ähliche Lizenz wähle, dann kann ich mich auch nicht im Nachgang darüber beschweren, dass ich mit meiner Software nichts verdiene.

  20. Re: Der Typ tut mir leid

    Autor: Gole-mAndI 12.12.21 - 16:39

    lunarix schrieb:
    --------------------------------------------------------------------------------
    > Gole-mAndI schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Ich weiß was dort steht. Es ist trotzdem nicht die Idee von Open Source.
    > > Ich habe auch das Recht die freiwillige Feuerwehr im Notfall zu rufen,
    > ohne
    > > dort selbst tätig zu sein. Aber wer kommt, wenn jeder seine
    > Verantwortung
    > > auf das anrufen beschränkt?
    >
    > In der Regel ist es ja auch ein Geben und Nehmen - das ist meines erachtens
    > die Idee von "Open Source".
    >
    > Wenn man nicht will, dass die eigene "Open Source" Software kommerziell
    > genutzt wird, dann muss man eben eine entpsrechende Lizenz wählen. Gibt ja
    > auch genug Sachen, die unter mehreren Lizenzen stehen um genau dieses
    > Problem anzugehen. Nur: wenn ich halt die Apache Lizenz oder eine ähliche
    > Lizenz wähle, dann kann ich mich auch nicht im Nachgang darüber beschweren,
    > dass ich mit meiner Software nichts verdiene.

    Und ich mich als Verwender nicht über Sicherheitslücken beschweren und einen Patch fordern.

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Außendienst-Techniker*in / Regionale*r Betreuer*in
    VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Baden-Württemberg
  2. IT-Projektleiter (m/w/d)
    STEMMER IMAGING AG, Puchheim
  3. Geschäftsbereichsleiter IT (m/w/d)
    Klinikum Bayreuth GmbH, Bayreuth
  4. Spezialist*in Supportmanagement (m/w/d)
    Stadtwerke München GmbH, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 9,49€
  2. 9,49€
  3. 42,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de