Bernhard Fastenrath Bernhard.Fastenrath.2@arcor.de, Tue, 29 Oct 2013 13:49:37 +0100:
Ich denke mir die meisten Nutzer können nur sehr begrenzt mit den z.B. bei Apache üblichen PGP Unterschriften unter der Software etwas anfangen.
Sollten wir nicht vielleicht mal eine Peerreview Bewertungsfunktion definieren, die die Qualität des Peerreviews das eine Software erhalten hat versucht qualitativ zu bestimmen?
Ich denke, das wäre ein Feature für die üblichen Paketsysteme, APT, YUM, und was da noch so ist. Im Ubuntu Software Center existiert bereits ein 5-Sterne Bewertungssystem. Das gibt allerdings eher die Nützlichkeit eines Programms an, nicht dessen Code-Qualität oder Sicherheit.
Neben der Signatur des Paketmaintainers, die angibt, dass ein Paket von einer bestimmten Person gebaut wurde (deren Vertrauenswürdigkeit und Fähigkeit du selbst einschätzen musst), würdest du dann noch Review-Signaturen einführen.
Diese Reviews müsstest du zum einen Kategorisieren (enthält keine Malware, ist ordentlich gelinted, hat menschliche Qualitätsprüfungen erfahren, ...). Gerade bei den subjektiven Angaben, müsstest du zudem noch gewichten, und das wird tricky. Z.B. würdest ich einem Paket, das von 14 BSA-Leuten gedownvoted, aber von, sagen wir Dan Kaminsky geupvoted wurde mehr vertrauen, als einem Paket, bei dem das umgedreht ist. Du müsstest die Signaturen der Reviewer also ihrerseits wieder an ein Reputationsmodell binden.
Eine Zertifizierungsstelle zu finden ist wiederum nicht das Problem. GPG Signaturen in einem Web-Of-Trust, oder mit Trustleveln, die von der Distro vorgegeben sind (wie beim Debian Keyring) sind meiner Meinung nach eigentlich ausreichend. So eine klassische CA ist im derzeitigen Zeitgeist wahrscheinlich eher kontraproduktiv.
Wie gesagt einiges zum Kopfzerbrechen, aber ich finde das Feature gehört auf die Wishlist für bestehende Paketsysteme.