-
OpenSource
Autor: CraWler 20.08.19 - 13:48
Ist also doch nicht davor sicher das dort Hintertüren untergebracht werden. Wenn man bedenkt aus wie vielen Komponenten eine 0815 Linux Distribution zusammen gesetzt ist dürfte da vermutlich so einiges an "versteckten" Sicherheitslücken zu finden sein.
-
Re: OpenSource
Autor: Katsuragi 20.08.19 - 14:18
Korrekt. Und in einem proprietären Produkt wäre das zusätzlich noch totgeschwiegen worden.
Perfekt ist nichts. Der OSS-Ansatz ist meiner Meinung nach dennoch richtig.
Problematisch ist (gerade bei OSS) die Komplexität heutiger Software-Projekte, die sich selbst in einfachen Fällen aus hunderten oder sogar tausenden anderen Libraries, Plugins etc. zusammen setzen. Das kann eigentlich keiner mehr überblicken und so kann es auch nur in einem Sicherheitsalptraum enden. *seufz* -
Re: OpenSource
Autor: netzwerkadmin 20.08.19 - 14:36
CraWler schrieb:
--------------------------------------------------------------------------------
> Ist also doch nicht davor sicher das dort Hintertüren untergebracht werden.
> Wenn man bedenkt aus wie vielen Komponenten eine 0815 Linux Distribution
> zusammen gesetzt ist dürfte da vermutlich so einiges an "versteckten"
> Sicherheitslücken zu finden sein.
Erzähl uns was neues
Der Unterschied ist dass sie wirklich zu finden und zu fixen sind, nicht nur von den bad-guys während bei closed-source abseits von bug-bounty Programmen eigentlich nur eine Gruppe einen finanziellen Vorteil hat Lücken zu finden und der Hersteller einen Teufel tun wird Aufwand in etwas zu stecken wofür er keine Rechnung schreiben kann -
Re: OpenSource
Autor: HeroFeat 20.08.19 - 14:37
Aber es ist eben doch aufgefallen. Aber das die Maintainer auf die vor einem Jahr entdeckten Unstimmigkeiten was den Code in den Releases und auf GitHub angeht reagiert haben lässt ja schon fast Mutwilligkeit von deren Seite aus vermuten. Einzig was mich davon abhält ist die Annahme, das sie es besser versteckt hätten, hätten sie es tatsächlich gewollt.
Aber es ist eben aufgefallen. Das wäre es bei einem Closed Source Produkt nicht. Und reproduzierbare Builds werden ja doch gerade ims Open Source Umfeld immer üblicher.
Jetzt muss nur noch daran gearbeitet werden, wie man auf solche Unstimmigkeiten reagiert (in manchen Projekten).



