Hallo,

Am Montag, 15. Dezember 2014 schrieb Bernd Petrovitsch:

"OSS" ist halt alles und nix - von GPL bis BSD (und MSFT hat auch deren "shared source"-Absurdität als "OSS" deklariert).

On Sam, 2014-12-13 at 19:28 +0100, Martin Gollowitzer wrote:

...

Ich würde eher sagen, es liegt an der Person. Leider gibt es im Open Source/Freie Software-Umfeld relativ viele solche Leute. Du würdest es nicht glauben, aber die Geschäftsführer mancher Firmen, die sich "Open Source" auf die Fahnen schreiben, verstehen die Thematik eigentlich nicht (und wollen es auch nicht). Daher kommen dann ja auch oft diese neoproprietären Open Core-Sachen.

Je nach Vorwissen und Zugang findest da alles - von "GPL-Verstehern" bis zum anderen Extrem, die halt das gratis Zeug nehmen und damit nur Geld machen (wollen;-) - und alles andere ist egal. Beim "Zurückgeben" wird es dann idR eng ("nur wenn es nix kostet", "ja. sobald wir Zeit dafür haben", "ja, eh, aber es ist ja nur so super mühsam und aufwendig, weil die Upstream-Maintainer wollen ja, daß wir das so abgeben, wie die wollen und dabei schenken wir denen da ja und die haben dann noch Ansprüche" oder andere blöde Ausreden - natürlich vollkommen ignorierend, daß sie selber halbe Applikationen (mit nicht-grottenschlecht lesbarem Sourcecode - warum wohl?;-) gratis bekommen haben) und das auch noch, nachdem "man" sich ja weit aus dem Fenster gelehnt hat, weil "man" dieses Gratis-Zeug verwendet (was nix kost', ist nix wert;-) und sich nicht auf $LIEFERANT von $PROPRIETARER_SOFTWARE ausreden kann und die Schuld trivial loswerden kann.

Ja, ich kenne die Probleme auch schon genug. Auf jeden Fall danke für die Unterstützung.

Ist leider ein reales Problem (und nicht nur im OSS-Dunstkreis), daß es wesentlich ist, einen Sündenbock in der Hinterhand zu haben.

Das ist wohl ein menschliches Problem welches auch in ganz anderem Kontext vorkommt.

Hier noch ein paar Exzerpte was ich jetzt tatsächlich geschrieben habe: -------- E.g. Mockus wrote already nearly 15 years ago in "A case study of open source software development: the Apache server" http://dl.acm.org/citation.cfm?doid=337180.337209 that core developers are only equally important (66%) compared to other contributors for PR related changes and by far not the only ones involved in reviews as you put it.

Andrew Binstock andrew.binstock@ubm.com wrote:

It's very hard to tell what you're objecting to. I expect you did not understand my editorial. I never, ever attacked open source software. The subhead of the article says in clear bold print: "Recent high-profile defects do not support the view that open source is less secure than closed source." Not a single person who wrote to me or commented on the article came to the conclusion you did about what I said. You have misread the article in a way that nobody else did.

Good to hear that it is not your opinion. Nevertheless, the article attacks free software in subtle, but also in direct ways:

1.) Your main claim/conclusion that not many reviews are going to happen. The statement completely ignores that: - scientists and security experts *do* have in-depth look (there are hundrets of papers out there that deal with security related bugs in OSS) - other (non-)profit organisations doing the same - maintainers of all free-software distributions look at code - students search for (security) bugs (e.g. in lectures) - developers that find/repair a bug typically take a deeper look - and that there are many other reasons why someone would look into code

2.) The light-minded usage of Heartbleed and Shellshock as examples. Those bugs are completely different (except of their medial attention they got). And your article mentions no similar bug in closed source by name. Articles like yours are responsible that the OSS bugs are well-known, but their counterparts in closed source are not.

3.) Your claim that we can count that companies will fix defects "in some closed-source packages" is really PR (e.g. what happened with IE6 or more recently: http://zerodayinitiative.com/advisories/ZDI-14-403/). If you wanted to support OSS you would have written the opposite.

glg Markus