1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Protestware in NPM-Paket…

Politik und open source

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Politik und open source

    Autor: qatvka5 12.04.22 - 13:30

    Wieso meinen so viele Leute und Firmen ihre politische Agenda in irgendwelche open source Projekte drücken zu müssen? Egal ob links oder rechts oder was auch immer, lasst gefälligst euren politischen Müll aus open source raus, es hat dort absolute nichts zu suchen und interessiert keinen Hund.

  2. Re: Politik und open source

    Autor: Schattenwerk 12.04.22 - 13:35

    qatvka5 schrieb:
    --------------------------------------------------------------------------------
    > Wieso meinen so viele Leute und Firmen ihre politische Agenda in
    > irgendwelche open source Projekte drücken zu müssen?

    Puh, ich würde ja sagen: Weils ihr Projekt ist, können sie damit machen, was sie wollen?

    Nur weils open source ist, heißt es nicht direkt, dass es allen gehört und jeder in der open source community ein Anrecht darauf hat, dass immer im eigenen persönlichen Interesse gehandelt wird.

    Damit will ich das Handeln weder gut heißen noch schön reden. Schlichtweg sollte es den Entwicklern mal eher vor Augen führen, dass man seine Dependencies vielleicht etwas mehr im Detail prüfen sollte. Und nun, ja... das kostet Zeit und vermutlich Geld. Das ist aber am Ende der Preis, wenn man das Produkt selbst umsonst bekommt. Nennt sich Trade-off und wird von vielen Menschen gerne ignoriert.

    Alternativ kann man sich die gewünschte Dependency auch gerne kostenpflichtig im Auftrag entwickeln und pflegen lassen. Dann ist man vor solchen Problemen relativ sicher.



    1 mal bearbeitet, zuletzt am 12.04.22 13:36 durch Schattenwerk.

  3. Re: Politik und open source

    Autor: superdachs 12.04.22 - 13:54

    qatvka5 schrieb:
    --------------------------------------------------------------------------------
    > Wieso meinen so viele Leute und Firmen ihre politische Agenda in
    > irgendwelche open source Projekte drücken zu müssen? Egal ob links oder
    > rechts oder was auch immer, lasst gefälligst euren politischen Müll aus
    > open source raus, es hat dort absolute nichts zu suchen und interessiert
    > keinen Hund.

    Mich interessiert es und ich finde es gut und wichtig. Gerade die OSS Welt steht ja auch in gewissem Maße für Freiheit und liberales Denken. Genau der richtige Platz für eine Antikriegsbotschaft. Insbesondere wenn es von einem Russen kommt in dessen Heimatland Freiheit absolut keine Bedeutung hat. Wenn dort nun Menschen auf diesem Wege die faschistische Invasion in der Ukraine gezeigt wird dann ist das sehr gut und wichtig.

  4. Ich finde es klasse

    Autor: Luu 12.04.22 - 13:57

    Nicht so sehr der Protestmeldung wegen - da sehe ich es genauso - es ist ihr Projekt und wenn sie eine neue Version releasen die eine Meldung anzeigt, ist das ihre Sache. Persönlich würde ich es nicht machen und ich habe Github Projekte mit > 1k Stars. Doch jeder der sein System so gebaut hat, dass es die neue Version ungeprüft auf den Server zieht und dort ausführen lässt, hat das selber zu verantworten.

    Viel wichtiger finde ich, wie es den Nutzern beibringt Version pinning zu verwenden und ein Bewusstsein dafür schafft, sich wirklich um Dependencies zu kümmern. Es ist verdammt blauäugig zu denken, dass es klug wäre fremden Code ungeprüft auf den eigenen Systemen laufen zu lassen. Freiwillige remote code execution sozusagen. Da wird einem schon die Arbeit abgenommen den Code schreiben zu müssen und dann kann man sich nicht einmal die Mühe machen ihn einmal zu testen, bevor man die Version bumpt? Die Geister, die ich rief ...

  5. Re: Politik und open source

    Autor: Steven Lake 12.04.22 - 14:06

    Es ist halt Schadware. Die Definition von Schadware ist auch dass unerwünschte Aktionen aus Sicht des Users ausgeführt werden, die nicht als Bug zu bezeichnen sind.
    Für mich ist die einzige Lösung als Community einen Fork zu machen und den Entwickler dann ausschließen (bezogen auf Pull Requests in den Fork).

    Politische Nachrichten bei der Installation, in der Readme oder im Changelog das ist okay. Hier wurde aber eine Nachricht an einer stelle angezeigt, wo keine erwartet werden. Sorry aber so einem Entwickler kann man nicht mehr trauen. Der gehört von allen Open Source Projekten ausgeschlossen. Wer einfach heimlich irgendwas einbaut, was niemand erwartet, das ist nicht okay. Das ist die Definition von Schadware.

    Natürlich kann der mit seinem Projekten machen was er will. Er muss sich halt nur an die AGBs der Plattformen halten, wo er seine Projekte veröffentlicht. Das schöne an Open Source ist ja, man kann es forken, anpassen und dann wieder veröffentlichen. Man kann dann sogar den Entwickler ausschließen. Liegt dann halt an den Nutzern welches Projekt das beliebtere ist.

  6. Re: Politik und open source

    Autor: User287 12.04.22 - 14:18

    Und wo zieht man die Grenze? Können jetzt überall Botschaften untergebracht werden? Gegen den Welthunger, gegen Tierquälerei, gegen alles was falsch läuft? Wie wird das Falsche definiert - nach Herkunft/Ideologie des jeweiligen Entwicklers?

    Sowas gehört einfach nicht dort hin. Wer fremden Code verwendet ist selbst Schuld - kann man so sehen, aber das wäre meiner Meinung nach das Ende für die OSS Welt.

  7. Re: Politik und open source

    Autor: dobeldo 12.04.22 - 14:23

    Steven Lake schrieb:
    --------------------------------------------------------------------------------
    > Es ist halt Schadware. Die Definition von Schadware ist auch dass
    > unerwünschte Aktionen aus Sicht des Users ausgeführt werden, die nicht als
    > Bug zu bezeichnen sind.

    Ich finde deine Defintion passt, aus meiner Sicht, auch gut auf Windows.

    > Der gehört von allen Open Source Projekten
    > ausgeschlossen. Wer einfach heimlich irgendwas einbaut, was niemand
    > erwartet, das ist nicht okay. Das ist die Definition von Schadware.

    Warum? Der Leiter des Projektes sollte Sachen reviewen (lassen). Wenn er erweiterte Rechte vergeben hatte und es mir als Projektleiter nicht passt, dann entziehe ich ihm die Rechte. Defintiv, wuerde ich aber keine PR ablehnen bloss weil es von einer bestimmten Person kommt. Einig sind wir uns ja, dass er mit seinen eigenen Projekten machen kann was er will.

  8. Re: Politik und open source

    Autor: Schattenwerk 12.04.22 - 14:25

    User287 schrieb:
    --------------------------------------------------------------------------------
    > Sowas gehört einfach nicht dort hin. Wer fremden Code verwendet ist selbst
    > Schuld - kann man so sehen, aber das wäre meiner Meinung nach das Ende für
    > die OSS Welt.

    Unsinn. Die Leute müssen einfach zwei Dinge beachten:

    1. Code gehört geprüft bevor man ihn verwendet
    2. Versionen gehören gepinnt. Will man updaten, dann tritt Regel 1 in Kraft.

    Dann git ist ein diff zwischen zwei Versionen einfach erledigt, wenn man nicht zwei Jahre wartet. Dann kann man solche Fälle problemlos sehen: https://github.com/Yaffle/EventSource/commit/de137927e13d8afac153d2485152ccec48948a7a

    Es fällt einem sofort auf, dass hier was nicht stimmen kann. Aber die Leute sehen OSS immer als: "Geil, gratis Software, getestet, bequem, kein Problem". Und das ist nun mal ein Fehler.

    PS: Ich wiederhole mich gerne: Der Autor einer Software kann in diese rein programmieren was er will. Solang es nicht gegen geltendes Recht verstößt oder nicht. Ich als kostenfreier Nutzer muss diese ja nicht verwenden.

  9. Re: Politik und open source

    Autor: dobeldo 12.04.22 - 14:27

    User287 schrieb:
    --------------------------------------------------------------------------------
    > Und wo zieht man die Grenze? Können jetzt überall Botschaften untergebracht
    > werden? Gegen den Welthunger, gegen Tierquälerei, gegen alles was falsch
    > läuft? Wie wird das Falsche definiert - nach Herkunft/Ideologie des
    > jeweiligen Entwicklers?

    Das ist ganz einfach, der Projektleiter entscheidet das.

    > Sowas gehört einfach nicht dort hin. Wer fremden Code verwendet ist selbst
    > Schuld - kann man so sehen, aber das wäre meiner Meinung nach das Ende für
    > die OSS Welt.
    Hat Putin gleich noch was auf dem Gewissen... Im Kern geht es bei OSS nicht darum einen Marktanteil zu erreichen. Ich mache als Entwickler ein Angebot. Du kannst meinen Code nutzen oder nicht. Ich kann auf dein Feedback eingehen oder nicht.

  10. Re: Politik und open source

    Autor: mnementh 12.04.22 - 14:28

    superdachs schrieb:
    --------------------------------------------------------------------------------
    > qatvka5 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wieso meinen so viele Leute und Firmen ihre politische Agenda in
    > > irgendwelche open source Projekte drücken zu müssen? Egal ob links oder
    > > rechts oder was auch immer, lasst gefälligst euren politischen Müll aus
    > > open source raus, es hat dort absolute nichts zu suchen und interessiert
    > > keinen Hund.
    >
    > Mich interessiert es und ich finde es gut und wichtig. Gerade die OSS Welt
    > steht ja auch in gewissem Maße für Freiheit und liberales Denken. Genau der
    > richtige Platz für eine Antikriegsbotschaft. Insbesondere wenn es von einem
    > Russen kommt in dessen Heimatland Freiheit absolut keine Bedeutung hat.
    > Wenn dort nun Menschen auf diesem Wege die faschistische Invasion in der
    > Ukraine gezeigt wird dann ist das sehr gut und wichtig.
    Ich bin da sehr gespalten. Zum einen finde ich wichtig, dass jeder die Möglichkeit hat seine politischen Botschaften zu verbreiten. Aber meine Sichtweise auf Software, speziell auf Bibliotheken und Tools ist halt, dass sie ein Werkzeug sind. Was wenn ich einen Hammer nutze und der mir plötzlich politische Botschaften des Hammerherstellers vorstellt, statt den Nagel zu treffen? Und man sollte auch immer bedenken: die Gegenseite hat das gleiche Recht auf politische Meinungsäußerung. Wie würde ich dazu stehen, wenn die politische Botschaft eine wäre der ich entgegenstehe?

  11. Re: Politik und open source

    Autor: Schattenwerk 12.04.22 - 14:29

    Ich finds immer amüsant wie immer gegen den Autor der Software argumentiert wird, der etwas eingebaut hat, was andere nicht wollen. Das fällt aber immer nur dann auf, weil die Leute stumpf upgrades ausführen ohne die Software zu testen.

    Die Meldung kam nach 15 Sekunden und sollte in jedem Test-Szenario auffallen, wenn man nicht pennt.

    Stattdessen wurde Software ohne Prüfung geupdatet und nun heulen alle rum, dass der Entwickler Mist gebaut hat. Anstatt sich mal Gedanken darüber zu machen wieso einem selbst dieses Problem nicht aufgefallen ist und ob man vielleicht was an seiner Arbeitsweise ändern sollte.

    Immer schön mit den Fingern auf andere zeigen anstatt selbst was an seinem Verhalten zu ändern.

  12. Re: Politik und open source

    Autor: lunarix 12.04.22 - 14:31

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > User287 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Sowas gehört einfach nicht dort hin. Wer fremden Code verwendet ist
    > selbst
    > > Schuld - kann man so sehen, aber das wäre meiner Meinung nach das Ende
    > für
    > > die OSS Welt.
    >
    > Unsinn. Die Leute müssen einfach zwei Dinge beachten:
    >
    > 1. Code gehört geprüft bevor man ihn verwendet

    Du führst für sämtliche Abhängigkeiten eines Node-Projektes Code-Reviews durch? Respekt. Kommst Du noch zu was anderem - denn dabei dürfte es sich um einen Vollzeitjob handeln.

  13. Re: Politik und open source

    Autor: mnementh 12.04.22 - 14:31

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > User287 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Sowas gehört einfach nicht dort hin. Wer fremden Code verwendet ist
    > selbst
    > > Schuld - kann man so sehen, aber das wäre meiner Meinung nach das Ende
    > für
    > > die OSS Welt.
    >
    > Unsinn. Die Leute müssen einfach zwei Dinge beachten:
    >
    > 1. Code gehört geprüft bevor man ihn verwendet
    > 2. Versionen gehören gepinnt. Will man updaten, dann tritt Regel 1 in
    > Kraft.
    >
    > Dann git ist ein diff zwischen zwei Versionen einfach erledigt, wenn man
    > nicht zwei Jahre wartet. Dann kann man solche Fälle problemlos sehen:
    > github.com
    >
    > Es fällt einem sofort auf, dass hier was nicht stimmen kann. Aber die Leute
    > sehen OSS immer als: "Geil, gratis Software, getestet, bequem, kein
    > Problem". Und das ist nun mal ein Fehler.
    >
    > PS: Ich wiederhole mich gerne: Der Autor einer Software kann in diese rein
    > programmieren was er will. Solang es nicht gegen geltendes Recht verstößt
    > oder nicht. Ich als kostenfreier Nutzer muss diese ja nicht verwenden.

    Benutzt Du einen Browser, einen Open-Source-Browser? Hast Du dessen Code geprüft?

    Ja, ich wünsche mir dass die Abhängigkeiten ordentlich geprüft werden. In der Realität ist das aber nicht immer möglich, mit Deadlines und immer komplexeren Anforderungen. Ich verlege mich meist darauf zu versuchen die Zahl der Abhängigkeiten möglichst gering zu halten und dort bekannte Bibliotheken zu bevorzugen, wo dann Probleme eher auffallen. Aber eine volle Prüfung kann ich nicht leisten - und die Firma die das machen würde wäre schnell pleite.

  14. Re: Politik und open source

    Autor: mnementh 12.04.22 - 14:32

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > User287 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Sowas gehört einfach nicht dort hin. Wer fremden Code verwendet ist
    > selbst
    > > Schuld - kann man so sehen, aber das wäre meiner Meinung nach das Ende
    > für
    > > die OSS Welt.
    >
    > Unsinn. Die Leute müssen einfach zwei Dinge beachten:
    >
    > 1. Code gehört geprüft bevor man ihn verwendet
    > 2. Versionen gehören gepinnt. Will man updaten, dann tritt Regel 1 in
    > Kraft.
    >
    > Dann git ist ein diff zwischen zwei Versionen einfach erledigt, wenn man
    > nicht zwei Jahre wartet. Dann kann man solche Fälle problemlos sehen:
    > github.com
    >
    > Es fällt einem sofort auf, dass hier was nicht stimmen kann. Aber die Leute
    > sehen OSS immer als: "Geil, gratis Software, getestet, bequem, kein
    > Problem". Und das ist nun mal ein Fehler.
    >
    > PS: Ich wiederhole mich gerne: Der Autor einer Software kann in diese rein
    > programmieren was er will. Solang es nicht gegen geltendes Recht verstößt
    > oder nicht. Ich als kostenfreier Nutzer muss diese ja nicht verwenden.

    Benutzt Du einen Browser, einen Open-Source-Browser? Hast Du dessen Code geprüft?

    Ja, ich wünsche mir dass die Abhängigkeiten ordentlich geprüft werden. In der Realität ist das aber nicht immer möglich, mit Deadlines und immer komplexeren Anforderungen. Ich verlege mich meist darauf zu versuchen die Zahl der Abhängigkeiten möglichst gering zu halten und dort bekannte Bibliotheken zu bevorzugen, wo dann Probleme eher auffallen. Aber eine volle Prüfung kann ich nicht leisten - und die Firma die das machen würde wäre schnell pleite.

    Wenn ich beim Coden nicht Geld verdienen muss, also in der Freizeit, dann kann ich es mir leisten sorgfältiger zu sein, aber ein komplettes Code-Review mache ich da auch nicht. Dann könnte ich es auch selber schreiben.

  15. Re: Politik und open source

    Autor: Schattenwerk 12.04.22 - 14:37

    Ich entwickle nicht für node.js aber ja, in der Firma werden für Fremd-Libraries tatsächlich Code-Reviews durchgeführt, wenn man das Pinning der Version ändert.

    In kommerzieller und/oder professioneller Entwicklung ist es meiner Meinung nach auch nicht anders möglich.

    Nachtrag: Entwickle mal Software, welche mit Hardware interagiert, wo Fehler in der Software zum Defekt der Hardware führen können. Da greift niemand professionelles zu irgendwelchen ungeprüften Libraries.

    Vielleicht ist im Web-Bereich einfach dieser "schnell, schnell, billig, billig"-Situation so verankert, dass man durch Preisdumping oder einer Amateur-Mentalität so etwas als Normal empfindet. Im Bereich sensibler Hardware, Embedded etc. habe ich so etwas jedenfalls noch nie bei einem seriösen Unternehmen angetroffen.



    1 mal bearbeitet, zuletzt am 12.04.22 14:43 durch Schattenwerk.

  16. Re: Politik und open source

    Autor: Schattenwerk 12.04.22 - 14:41

    mnementh schrieb:
    --------------------------------------------------------------------------------
    > Benutzt Du einen Browser, einen Open-Source-Browser? Hast Du dessen Code
    > geprüft?

    Ja, tue ich. Nein, tue ich nicht. Ich beschwere mich dann aber auch nicht, wenn die Version mal nicht rund läuft. Weil ich eben nix dafür zahle.

    > Ja, ich wünsche mir dass die Abhängigkeiten ordentlich geprüft werden. In
    > der Realität ist das aber nicht immer möglich, mit Deadlines und immer
    > komplexeren Anforderungen. Ich verlege mich meist darauf zu versuchen die
    > Zahl der Abhängigkeiten möglichst gering zu halten und dort bekannte
    > Bibliotheken zu bevorzugen, wo dann Probleme eher auffallen. Aber eine
    > volle Prüfung kann ich nicht leisten - und die Firma die das machen würde
    > wäre schnell pleite.

    Falsch. Die Firma die das macht hat einfach einen gewissen Standard der aufgrund von Audits, Zertifizierungen etc. notwendig ist.

    So etwas findet man nicht im Web-Bereich, das kann man so stehen lassen. Das ist aber Problem der Branche und wie du selbst gesagt hast: Das Problem liegen in zu engen Deadlines oder zu geringer Bezahlung. Womit wir wieder beim Trade-off ist, welchen ich schon angesprochen habe:

    Man spart Kosten und Zeit und geht dieses Risiko ein.

    Hat man am Ende Pech, sollte man sich darauf zurückbesinnen und es als Lehre sehen.

  17. Re: Politik und open source

    Autor: Thargon 12.04.22 - 15:37

    qatvka5 schrieb:
    --------------------------------------------------------------------------------
    > Wieso meinen so viele Leute und Firmen ihre politische Agenda in
    > irgendwelche open source Projekte drücken zu müssen? Egal ob links oder
    > rechts oder was auch immer, lasst gefälligst euren politischen Müll aus
    > open source raus, es hat dort absolute nichts zu suchen und interessiert
    > keinen Hund.

    Wenn du 3 für "so viele" hältst, dann wirst du aber staunen, wenn du mal das große Einmaleins lernst.

    Open Source ist eben offen. Da darf jeder mit tun und lassen was sie oder er möchte. Genauso kann bzw. muss sich jeder selbst entscheiden, ob sie oder er das verwenden möchte oder nicht.

    Ist der Komfort kostenloser und meist guter Software das Risiko wert, dass auch mal ein schlechter Commit dabei ist? Hat man so großes Vertrauen in die Entwickler, dass man einfach immer blind die aktuellste Version nimmt?

    Im Kern geht es bei diesen Diskussionen um zwei Dinge: freie Meinungsäußerung in Form von OSS und fahrlässiges Handeln der Nutzer dieser Software. Und jedem der ersteres verurteilt weil letzteres Schaden verursacht hat, dem empfehle ich in ein autokratisch geführtes Land auszuwandern. Sobald dort letzteres auftritt wird irgendjemand kriminalisiert, sodass ersteres nur unter Gefahr für Leib und Leben möglich ist.

  18. Re: Politik und open source

    Autor: qatvka5 12.04.22 - 17:23

    Wer hier meint die Leute sind selber schuld weil sie den Code nicht überprüfen, der hat wahrscheinlich noch nie ernsthaft außerhalb einer großen Firma gearbeitet. Der Großteil der Leute die diese dependency nutzen sind keine großen Firmen die sich eine ganze Abteilung für code review leisten können sondern einzelne Personen, Entwickler, Freelancer, Onlineshop Betreiber, die haben schlichtweg nicht die Mittel und Ressourcen das zu überprüfen, ja die können teilweise nicht mal programmieren und Code lesen.

    Nein die nehmen bestimmt kein Geld in die Hand um für ihr kleines Unternehmen eigene libraries zu pflegen weil das auch verdammt teuer ist und man irgendwo auch wirtschaften muss. Die sind darauf angewiesen, dass das Zeug irgendwie funktioniert und müssen darauf vertrauen können. Solche Aktionen wie diese brechen das Vertrauen gegenüber der gesamten open source Landschaft.

  19. Re: Politik und open source

    Autor: Schattenwerk 12.04.22 - 17:33

    Wieso nutzt man dann kein Pinning? Welche Ausreden gibts dafür?

  20. Re: Politik und open source

    Autor: qatvka5 12.04.22 - 17:56

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > Wieso nutzt man dann kein Pinning? Welche Ausreden gibts dafür?

    Die wenigsten die das Paket nutzen dürften wissen was pinning ist. In der Realität wissen wahrscheinlich über 99% nicht mal dass sie dieses Paket überhaupt nutzen.

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Coach für PC- und Medienkompetenz (m/w/d)
    Caritasverband für die Stadt Bonn e. V., Bonn
  2. Scrum Master - Projektmanager (m/w/d)
    Pixida GmbH, München, Ingolstadt
  3. Software Architekt / Software Architect (m/w/d)
    igus GmbH, Köln
  4. SAP Business Application Specialist (m/w/d)
    KIRCHHOFF Automotive GmbH, Iserlohn

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de