1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Tisa: Ein Abkommen gegen Open Source

Blick in Sourcecode hat keinen wirklichen Mehrwert

  1. Thema

Neues Thema Ansicht wechseln


  1. Blick in Sourcecode hat keinen wirklichen Mehrwert

    Autor: staples 05.06.15 - 16:25

    Auch wenn es derzeit immer wieder gefordert wird und selbst Microsoft Regierungen den Blick in den Sourcecode ermöglicht, hat es keinerlei Mehrwert. Hier fehlt aber den verantwortlichen schlicht und ergreifen das Fachwissen.

    1. Was nützt es mir, wenn ich mir den Sourcecode von Windows angucken kann? Das Teil ist viel zu groß, als dass man es einer Analyse durch eine Regierung bzw. deren Dienstleister wirklich ausführlich untersuchen könnte.

    2. Sourcecode ist nur dann Sinnvoll, wenn ich mir daraus ein Kompilat erzeuge und es dann verwenden. Ansonsten _könnte_ eine Firma die Sourcecode zwar zur Verfügung stellen, aber die Build mit zusätzlichen Zweigen erzeugen, die dann eben die brisanten Teile (Backdoors etc) enthalten. Schnell ist eine Verschlüsselungs-Lib im semi-öffentlichen Sourcecode-Zweig richtig implementiert, in nicht öffentlichen Build-relevanten Zweig allerdings nur noch pseudozufällige Crypto-Algos drin.

    TL;DR: Solange man nicht aus den Sourcen auch ein Build selber erstellen kann, ist der Einblick in Sourcecode proprietärer Software ohne Mehrwert.

  2. Re: Blick in Sourcecode hat keinen wirklichen Mehrwert

    Autor: Leo K. 05.06.15 - 16:50

    staples schrieb:
    --------------------------------------------------------------------------------
    > Auch wenn es derzeit immer wieder gefordert wird und selbst Microsoft
    > Regierungen den Blick in den Sourcecode ermöglicht, hat es keinerlei
    > Mehrwert. Hier fehlt aber den verantwortlichen schlicht und ergreifen das
    > Fachwissen.
    >
    > 1. Was nützt es mir, wenn ich mir den Sourcecode von Windows angucken kann?
    > Das Teil ist viel zu groß, als dass man es einer Analyse durch eine
    > Regierung bzw. deren Dienstleister wirklich ausführlich untersuchen könnte.
    >
    > 2. Sourcecode ist nur dann Sinnvoll, wenn ich mir daraus ein Kompilat
    > erzeuge und es dann verwenden. Ansonsten _könnte_ eine Firma die Sourcecode
    > zwar zur Verfügung stellen, aber die Build mit zusätzlichen Zweigen
    > erzeugen, die dann eben die brisanten Teile (Backdoors etc) enthalten.
    > Schnell ist eine Verschlüsselungs-Lib im semi-öffentlichen Sourcecode-Zweig
    > richtig implementiert, in nicht öffentlichen Build-relevanten Zweig
    > allerdings nur noch pseudozufällige Crypto-Algos drin.
    >
    > TL;DR: Solange man nicht aus den Sourcen auch ein Build selber erstellen
    > kann, ist der Einblick in Sourcecode proprietärer Software ohne Mehrwert.

    Jop. Aaaaber OpenSource Software wird in der Regel öffentlich entwickelt, was a) mehr Augen bedeutet aber vor allem b) durch das VCS einen einfach Einblick in den Sourcecode ermoeglicht. Man ueberprueft einfach einzelne Patches – ist deutlich einfach zu verstehen.
    Jetzt ploetzlich in den Quellcode von einem Riesenprodukt wie Windows reinzugucken bringt rein garnix. Schon deshalb, weil die Kompilate nicht entsprechen muessen.
    Das waere bei OSS wiederum kein Problem – kann man ja selber erstellen.

    Ergo: Der Gesetzentwurf ist trotzdem scheisse.

  3. Re: Blick in Sourcecode hat keinen wirklichen Mehrwert

    Autor: staples 05.06.15 - 17:34

    Der Vorteil der OS-Software ist mir bewusst. Ich sprach ja extra vom Einblick bei proprietärer Software.

  4. Re: Blick in Sourcecode hat keinen wirklichen Mehrwert

    Autor: spiderbit 05.06.15 - 17:49

    Es geht auch nicht darum in den Source rein zu schauen sondern um Opensource da rein zu kucken hat genau 0 Mehrwert. Im gegenteil es suggeriert falsche nicht vorhandene (Spionage) Sicherheit.

  5. Re: Blick in Sourcecode hat keinen wirklichen Mehrwert

    Autor: shyps 05.06.15 - 18:15

    dass einblick in closed source nix bringt, stimmt. aber die open-source-bedingung darf ja wahrscheinlich nicht in die ausschreibung genommen werden, auf dem papier verliert dann das open source angebot an wert in sachen pflichterfüllung. also das was man sich eben insgeheim oder längerfristig davon verspricht, und eine option oss vorzuziehen, um zu sehen, ob es sich rechnet - so wie spiderbit das beschrieben hat - find ich eh schon grund genug. ich denk nicht, dass man mit dem gesetz noch die gleiche handlungsfreiheit hat.

  6. Re: Blick in Sourcecode hat keinen wirklichen Mehrwert

    Autor: GodsBoss 05.06.15 - 19:46

    > Auch wenn es derzeit immer wieder gefordert wird und selbst Microsoft
    > Regierungen den Blick in den Sourcecode ermöglicht, hat es keinerlei
    > Mehrwert. Hier fehlt aber den verantwortlichen schlicht und ergreifen das
    > Fachwissen.
    >
    > 1. Was nützt es mir, wenn ich mir den Sourcecode von Windows angucken kann?
    > Das Teil ist viel zu groß, als dass man es einer Analyse durch eine
    > Regierung bzw. deren Dienstleister wirklich ausführlich untersuchen könnte.

    Erstens sind nicht alle Projekte, die in Auftrag gegeben werden, von einer derartigen Größenordnung. Zweitens muss die Entdeckungswahrscheinlichkeit von Backdoors nicht 100% betragen, aber wenn man sie durch eine Analyse des Quellcodes signifikant steigern kann, ist das schon ein Gewinn.

    Viel wichtiger ist jedoch das Potenzial, eine solche Lücke selbst beseitigen zu können. Stell dir eine alternative Welt vor, in der OpenSSL Closed Source wäre, ebenfalls Heartbleed enthalten hätte, aber der Hersteller wäre überfordert damit gewesen (oder es wäre ihm egal gewesen), die Lücke zu entfernen. Ja, da steht man dann dumm da.

    > 2. Sourcecode ist nur dann Sinnvoll, wenn ich mir daraus ein Kompilat
    > erzeuge und es dann verwenden. Ansonsten _könnte_ eine Firma die Sourcecode
    > zwar zur Verfügung stellen, aber die Build mit zusätzlichen Zweigen
    > erzeugen, die dann eben die brisanten Teile (Backdoors etc) enthalten.
    > Schnell ist eine Verschlüsselungs-Lib im semi-öffentlichen Sourcecode-Zweig
    > richtig implementiert, in nicht öffentlichen Build-relevanten Zweig
    > allerdings nur noch pseudozufällige Crypto-Algos drin.
    >
    > TL;DR: Solange man nicht aus den Sourcen auch ein Build selber erstellen
    > kann, ist der Einblick in Sourcecode proprietärer Software ohne Mehrwert.

    Den Build selbst durchführen zu können (nach Anleitung), könnte man doch in die Ausschreibung mit aufnehmen?

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Alexander Binzel Schweisstechnik GmbH & Co. KG, Buseck
  2. BEHG HOLDING AG, Berlin
  3. ING Deutschland, Frankfurt
  4. Universität Passau, Passau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de