Ich denke mir die meisten Nutzer können nur sehr begrenzt mit den z.B. bei Apache üblichen PGP Unterschriften unter der Software etwas anfangen.
Sollten wir nicht vielleicht mal eine Peerreview Bewertungsfunktion definieren, die die Qualität des Peerreviews das eine Software erhalten hat versucht qualitativ zu bestimmen?
Die Wikipedia hat beispielsweise https://de.wikipedia.org/wiki/Hilfe:Gesichtete_und_gepr%C3%BCfte_Versionen https://de.wikipedia.org/wiki/Hilfe:Gesichtete_und_gepr%FCfte_Versionen, außerdem gibt es neuerdings in der englischen Wikipedia einen "Dankeschön" Link in der History, mit dem man sich bei einem Autor für eine Änderung bedanken kann.
Wenn ich da beispielsweise an mein Ext2 Filesystem für AmigaOS denke - das habe ich vermutlich deswegen nicht mehr weiterentwickelt, weil sich niemand dafür zu interessieren schien. Vermutlich stimmte das aber gar nicht. Heute hat jemand anderes ein Ext2 Filesystem für AmigaOS geschrieben und 2009 ist sogar noch eine Version erschienen: http://aminet.net/package/disk/misc/ext2fs_0.41
Am 29.10.2013 13:49, schrieb Bernhard Fastenrath:
Sollten wir nicht vielleicht mal eine Peerreview Bewertungsfunktion definieren, die die Qualität des Peerreviews das eine Software erhalten hat versucht qualitativ zu bestimmen?
Zwei unterschiedliche Probleme die unterschiedlich gelöst werden. (sicherstellen, dass Quellen nicht verändert wurden vs. "passt zu irgendwelchen Qualitätskriterien")
Gruß Frank
Frank Lanitz wrote:
Am 29.10.2013 13:49, schrieb Bernhard Fastenrath:
Sollten wir nicht vielleicht mal eine Peerreview Bewertungsfunktion definieren, die die Qualität des Peerreviews das eine Software erhalten hat versucht qualitativ zu bestimmen?
Zwei unterschiedliche Probleme die unterschiedlich gelöst werden. (sicherstellen, dass Quellen nicht verändert wurden vs. "passt zu irgendwelchen Qualitätskriterien")
Gruß Frank
Ich hatte mal vorgeschlagen SwissSign Code Signing Certificates http://www.psw-group.de/swisssign.html zu verwenden. Die Überlegung ist aber nach einer kurzen, internen Diskussion in der FSFE eingeschlafen. Ich hatte auch angeboten die Kosten für ein Jahr zu übernehmen.
Grüße, Bernhard
On 29.10.2013 16:15, Bernhard Fastenrath wrote:
Ich hatte mal vorgeschlagen SwissSign Code Signing Certificates http://www.psw-group.de/swisssign.html zu verwenden. Die Überlegung ist aber nach einer kurzen, internen Diskussion in der FSFE eingeschlafen. Ich hatte auch angeboten die Kosten für ein Jahr zu übernehmen.
Zertifikate, die sich zum Signieren von Code eignen, gibt es auch bei CAcert - kostenlos.
Gruß Michael
RA Stehmann wrote:
On 29.10.2013 16:15, Bernhard Fastenrath wrote:
Ich hatte mal vorgeschlagen SwissSign Code Signing Certificates http://www.psw-group.de/swisssign.html zu verwenden. Die Überlegung ist aber nach einer kurzen, internen Diskussion in der FSFE eingeschlafen. Ich hatte auch angeboten die Kosten für ein Jahr zu übernehmen.
Zertifikate, die sich zum Signieren von Code eignen, gibt es auch bei CAcert - kostenlos.
Nur mal als Denkanstoß: Privatenschulen in NRW nehmen selten Schulgebühren, weil das Land NRW 100% der Kosten für eine Privatschule trägt, dann aber evtl. Schulgebühren dagegen verrechnet, also quasi vollständig einzieht. Für eine Privatschule, die ich mal geplant hatte, wollte ich eine Schulgebühr erheben, weil es mich doch gar nicht stört wenn das Land NRW etwas Geld verdient. Soviel zu kostenlos.
On 30.10.2013 11:43, Bernhard Fastenrath wrote:
RA Stehmann wrote:
On 29.10.2013 16:15, Bernhard Fastenrath wrote:
Ich hatte mal vorgeschlagen SwissSign Code Signing Certificates http://www.psw-group.de/swisssign.html zu verwenden. Die Überlegung ist aber nach einer kurzen, internen Diskussion in der FSFE eingeschlafen. Ich hatte auch angeboten die Kosten für ein Jahr zu übernehmen.
Zertifikate, die sich zum Signieren von Code eignen, gibt es auch bei CAcert - kostenlos.
Nur mal als Denkanstoß: Privatenschulen in NRW nehmen selten Schulgebühren, weil das Land NRW 100% der Kosten für eine Privatschule trägt, dann aber evtl. Schulgebühren dagegen verrechnet, also quasi vollständig einzieht. Für eine Privatschule, die ich mal geplant hatte, wollte ich eine Schulgebühr erheben, weil es mich doch gar nicht stört wenn das Land NRW etwas Geld verdient. Soviel zu kostenlos.
CAcert nimmt kein Geld (Spenden natürlich gerne), weil es "community-driven" ist.
Gruß Michael
Bernhard Fastenrath schrieb:
Zertifikate, die sich zum Signieren von Code eignen, gibt es auch bei CAcert - kostenlos.
Nur mal als Denkanstoß: Privatenschulen in NRW nehmen selten Schulgebühren, weil das Land NRW 100% der Kosten für eine Privatschule trägt, dann aber evtl. Schulgebühren dagegen verrechnet, also quasi vollständig einzieht. Für eine Privatschule, die ich mal geplant hatte, wollte ich eine Schulgebühr erheben, weil es mich doch gar nicht stört wenn das Land NRW etwas Geld verdient. Soviel zu kostenlos.
Was haben denn Privatschulen mit Freien Projekten gemein?
Ciao Marco!
Der Kölner sagt: "/Wat nix koss/, es /och nix/".
Nun haben Bauernweisheiten und Sprichworte nicht immer recht, aber manchmal doch eine pseudo-kausale bzw. assoziative Bedeutung.
Im Fall der Privatschule war mein Gedanke, dass ich damit die Kundschaft sozusagen vorsortiere. Wer prinzipiell jede Zahlung von Schulgeld, auch eine im Rahmen des Sonderungsverbots https://de.wikipedia.org/wiki/Sonderungsverbot verbleibende Schulgeldzahlung, ablehnt, der zeigt nicht genug Respekt für Bildung und wäre sowieso ein ungünstiger Kunde.
Bei freier Software könnte ich mir z.B. auch eine Kulturflatrate vorstellen mit der man die Kundschaft vorsortiert. Ich habe z.B. mal für die Firma HRS http://firmen.ihk-koeln.de/de/firmen/fdb_266910944690.htm als EDV Berater gearbeitet. Das ist ein sehr ungünstiger Kunde, den man eigentlich nicht beschenken möchte, weil er im wesentlichen damit beschäftigt ist ein Wirtschaftsimperium auf Ausbeutung aufzubauen und dabei auch Verträge bricht. Ich habe beispielsweise die Schnittstelle von Pegasus Solutions http://www.pegs.com/ für HRS implementiert. Im Rahmen dieser Implementierung hat HRS mir keinen Vertrag vorgelegt und dadurch selbst die eigenen Verträge mit Pegasus Solutions absichtlich gebrochen. Unter anderem wurde die gesamte Datenbank mit Hoteldaten ausgelesen, die man für 2000 EUR pro Quartal (oder einen ähnlichen Betrag) auf CD hätte abonnieren müssen. Neben dem Vertragsbruch wird natürlich - branchenüblich - auch gelogen: Die Firma hat schon lange vor der Pegasus Anbindung behauptet, dass sie hundertausende Hotels anschließt, was aber erst durch Pegasus wahr wurde. Tatsächlich hatte man einige tausend Hotels unter Vertrag.
Marco Maske wrote:
Bernhard Fastenrath schrieb:
Zertifikate, die sich zum Signieren von Code eignen, gibt es auch bei CAcert - kostenlos.
Nur mal als Denkanstoß: Privatenschulen in NRW nehmen selten Schulgebühren, weil das Land NRW 100% der Kosten für eine Privatschule trägt, dann aber evtl. Schulgebühren dagegen verrechnet, also quasi vollständig einzieht. Für eine Privatschule, die ich mal geplant hatte, wollte ich eine Schulgebühr erheben, weil es mich doch gar nicht stört wenn das Land NRW etwas Geld verdient. Soviel zu kostenlos.
Was haben denn Privatschulen mit Freien Projekten gemein?
Ciao Marco!
Bernhard Fastenrath wrote:
Der Kölner sagt: "/Wat nix koss/, es /och nix/".
Nun haben Bauernweisheiten und Sprichworte nicht immer recht, aber manchmal doch eine pseudo-kausale bzw. assoziative Bedeutung.
Im Fall der Privatschule war mein Gedanke, dass ich damit die Kundschaft sozusagen vorsortiere. Wer prinzipiell jede Zahlung von Schulgeld, auch eine im Rahmen des Sonderungsverbots https://de.wikipedia.org/wiki/Sonderungsverbot verbleibende Schulgeldzahlung, ablehnt, der zeigt nicht genug Respekt für Bildung und wäre sowieso ein ungünstiger Kunde.
Bei freier Software könnte ich mir z.B. auch eine Kulturflatrate vorstellen mit der man die Kundschaft vorsortiert. Ich habe z.B. mal für die Firma HRS http://firmen.ihk-koeln.de/de/firmen/fdb_266910944690.htm als EDV Berater gearbeitet. Das ist ein sehr ungünstiger Kunde, den man eigentlich nicht beschenken
Versehentlich habe ich dem Kunden ein Visual Age Enterprise Update 3.5 geschenkt. Also eigentlich war es schon absichlich, aber heute würde ich diese Absicht eher als Versehen bezeichnen ;-)
möchte, weil er im wesentlichen damit beschäftigt ist ein Wirtschaftsimperium auf Ausbeutung aufzubauen und dabei auch Verträge bricht. Ich habe beispielsweise die Schnittstelle von Pegasus Solutions http://www.pegs.com/ für HRS implementiert. Im Rahmen dieser Implementierung hat HRS mir keinen Vertrag vorgelegt und dadurch selbst die eigenen Verträge mit Pegasus Solutions absichtlich gebrochen. Unter anderem wurde die gesamte Datenbank mit Hoteldaten ausgelesen, die man für 2000 EUR pro Quartal (oder einen ähnlichen Betrag) auf CD hätte abonnieren müssen. Neben dem Vertragsbruch wird natürlich - branchenüblich - auch gelogen: Die Firma hat schon lange vor der Pegasus Anbindung behauptet, dass sie hundertausende Hotels anschließt, was aber erst durch Pegasus wahr wurde. Tatsächlich hatte man einige tausend Hotels unter Vertrag.
Ich habe mein Projekt "Free Reservation System http://savannah.nongnu.org/projects/frs" eingestellt. Das Projekt ist aber im Großen und Ganzen fertig, wer also ein wenig Geld verdienen möchte kann gerne ein Online-Reisebüro damit betreiben, Kurse im Linux Hotel nur auf Anforderung.
Anekdote dazu: Der Herr Robert Ragge von HRS hatte diese sympathische Angewohnheit Leute einzustellen, deren Namen er witzig fand. So hat den auch bei HRS mal eine Frau Sorce gearbeitet. Man darf sich dazu z.B. vorstellen, dass ein besoffener Ragge dazu lallt: "Ihr das in der EDV, euer source code ist aber weiblich", dann versteht man seinen Humor vielleicht. Aber man hat schon das Gefühl, dass Herr Ragge sich mit einem Programmierer unterhalten wollte.
Bernhard Fastenrath wrote:
Bernhard Fastenrath wrote:
Der Kölner sagt: "/Wat nix koss/, es /och nix/".
Nun haben Bauernweisheiten und Sprichworte nicht immer recht, aber manchmal doch eine pseudo-kausale bzw. assoziative Bedeutung.
Im Fall der Privatschule war mein Gedanke, dass ich damit die Kundschaft sozusagen vorsortiere. Wer prinzipiell jede Zahlung von Schulgeld, auch eine im Rahmen des Sonderungsverbots https://de.wikipedia.org/wiki/Sonderungsverbot verbleibende Schulgeldzahlung, ablehnt, der zeigt nicht genug Respekt für Bildung und wäre sowieso ein ungünstiger Kunde.
Bei freier Software könnte ich mir z.B. auch eine Kulturflatrate vorstellen mit der man die Kundschaft vorsortiert. Ich habe z.B. mal für die Firma HRS http://firmen.ihk-koeln.de/de/firmen/fdb_266910944690.htm als EDV Berater gearbeitet. Das ist ein sehr ungünstiger Kunde, den man eigentlich nicht beschenken
Versehentlich habe ich dem Kunden ein Visual Age Enterprise Update 3.5 geschenkt. Also eigentlich war es schon absichlich, aber heute würde ich diese Absicht eher als Versehen bezeichnen ;-)
möchte, weil er im wesentlichen damit beschäftigt ist ein Wirtschaftsimperium auf Ausbeutung aufzubauen und dabei auch Verträge bricht. Ich habe beispielsweise die Schnittstelle von Pegasus Solutions http://www.pegs.com/ für HRS implementiert. Im Rahmen dieser Implementierung hat HRS mir keinen Vertrag vorgelegt und dadurch selbst die eigenen Verträge mit Pegasus Solutions absichtlich gebrochen. Unter anderem wurde die gesamte Datenbank mit Hoteldaten ausgelesen, die man für 2000 EUR pro Quartal (oder einen ähnlichen Betrag) auf CD hätte abonnieren müssen. Neben dem Vertragsbruch wird natürlich - branchenüblich - auch gelogen: Die Firma hat schon lange vor der Pegasus Anbindung behauptet, dass sie hundertausende Hotels anschließt, was aber erst durch Pegasus wahr wurde. Tatsächlich hatte man einige tausend Hotels unter Vertrag.
Nachdem ich von Java Applets nach Oracles jüngsten Sicherheitsproblemen etwas abgekommen bin habe ich jetzt eine Version mit JavaScript in Arbeit. Falls jemand das Projekt als Open Source Projekt übernehmen möchte stelle ich den source code gerne weiter zur Verfügung, andernfalls wird das Projekt ab jetzt proprietär (da mein Open Source Projekt keine Interessenten gefunden hatte).
Das Projekt eignet sich beispielsweise auch gut für traditionelle Reisebüros, die ein paar Kunden zurückgewinnen möchten, die sie an das Internet verloren haben.
Bernhard Fastenrath wrote:
Ich habe mein Projekt "Free Reservation System http://savannah.nongnu.org/projects/frs" eingestellt. Das Projekt ist aber im Großen und Ganzen fertig, wer also ein wenig Geld verdienen möchte kann gerne ein Online-Reisebüro damit betreiben, Kurse im Linux Hotel nur auf Anforderung.
Anekdote dazu: Der Herr Robert Ragge von HRS hatte diese sympathische Angewohnheit Leute einzustellen, deren Namen er witzig fand. So hat denn bei HRS auch mal eine Frau Sorce gearbeitet. Man darf sich dazu z.B. vorstellen, dass ein besoffener Ragge dazu lallt: "Ihr da in der EDV, euer source code ist aber weiblich", dann versteht man seinen Humor vielleicht. Aber man hat schon das Gefühl, dass Herr Ragge sich mit einem Programmierer unterhalten wollte.
Bernhard Fastenrath wrote:
Bernhard Fastenrath wrote:
Der Kölner sagt: "/Wat nix koss/, es /och nix/".
Nun haben Bauernweisheiten und Sprichworte nicht immer recht, aber manchmal doch eine pseudo-kausale bzw. assoziative Bedeutung.
Im Fall der Privatschule war mein Gedanke, dass ich damit die Kundschaft sozusagen vorsortiere. Wer prinzipiell jede Zahlung von Schulgeld, auch eine im Rahmen des Sonderungsverbots https://de.wikipedia.org/wiki/Sonderungsverbot verbleibende Schulgeldzahlung, ablehnt, der zeigt nicht genug Respekt für Bildung und wäre sowieso ein ungünstiger Kunde.
Bei freier Software könnte ich mir z.B. auch eine Kulturflatrate vorstellen mit der man die Kundschaft vorsortiert. Ich habe z.B. mal für die Firma HRS http://firmen.ihk-koeln.de/de/firmen/fdb_266910944690.htm als EDV Berater gearbeitet. Das ist ein sehr ungünstiger Kunde, den man eigentlich nicht beschenken
Versehentlich habe ich dem Kunden ein Visual Age Enterprise Update 3.5 geschenkt. Also eigentlich war es schon absichlich, aber heute würde ich diese Absicht eher als Versehen bezeichnen ;-)
möchte, weil er im wesentlichen damit beschäftigt ist ein Wirtschaftsimperium auf Ausbeutung aufzubauen und dabei auch Verträge bricht. Ich habe beispielsweise die Schnittstelle von Pegasus Solutions http://www.pegs.com/ für HRS implementiert. Im Rahmen dieser Implementierung hat HRS mir keinen Vertrag vorgelegt und dadurch selbst die eigenen Verträge mit Pegasus Solutions absichtlich gebrochen. Unter anderem wurde die gesamte Datenbank mit Hoteldaten ausgelesen, die man für 2000 EUR pro Quartal (oder einen ähnlichen Betrag) auf CD hätte abonnieren müssen. Neben dem Vertragsbruch wird natürlich - branchenüblich - auch gelogen: Die Firma hat schon lange vor der Pegasus Anbindung behauptet, dass sie hundertausende Hotels anschließt, was aber erst durch Pegasus wahr wurde. Tatsächlich hatte man einige tausend Hotels unter Vertrag.
Bernhard Fastenrath wrote:
Ich habe mein Projekt "Free Reservation System http://savannah.nongnu.org/projects/frs" eingestellt. Das Projekt ist aber im Großen und Ganzen fertig, wer also ein wenig Geld verdienen möchte kann gerne ein Online-Reisebüro damit betreiben, Kurse im Linux Hotel nur auf Anforderung.
Anekdote dazu: Der Herr Robert Ragge von HRS hatte diese sympathische Angewohnheit Leute einzustellen, deren Namen er witzig fand. So hat denn bei HRS auch mal eine Frau Sorce gearbeitet. Man darf sich dazu z.B. vorstellen, dass ein besoffener Ragge dazu lallt: "Ihr da in der EDV, euer source code ist aber weiblich", dann versteht man seinen Humor vielleicht. Aber man hat schon das Gefühl, dass Herr Ragge sich mit einem Programmierer unterhalten wollte.
Man könnte natürlich auch bemerken, dass Open Source Aspekte einer weiblichen Kulturdimension http://en.wikipedia.org/wiki/Cultural_dimensions mitbringt: femininity: by principle of equality, conflict resolution, person oriented, orientation to holism and quality of life masculinity: competitive orientation, assertiveness, goal oriented, materialism and power (Siehe auch: https://en.wikipedia.org/wiki/Hofstede%27s_cultural_dimensions_theory https://en.wikipedia.org/wiki/Hofstede%27s_cultural_dimensions_theory)
Aber da sind schwere Worte in dem Text, da würde Robert Ragge eher sagen: "Ja und wie würdest du das dem Mann auf der Straße erklären?", weil er es selber nicht begriffen hat.
Bernhard Fastenrath wrote:
Bernhard Fastenrath wrote:
Der Kölner sagt: "/Wat nix koss/, es /och nix/".
Nun haben Bauernweisheiten und Sprichworte nicht immer recht, aber manchmal doch eine pseudo-kausale bzw. assoziative Bedeutung.
Im Fall der Privatschule war mein Gedanke, dass ich damit die Kundschaft sozusagen vorsortiere. Wer prinzipiell jede Zahlung von Schulgeld, auch eine im Rahmen des Sonderungsverbots https://de.wikipedia.org/wiki/Sonderungsverbot verbleibende Schulgeldzahlung, ablehnt, der zeigt nicht genug Respekt für Bildung und wäre sowieso ein ungünstiger Kunde.
Bei freier Software könnte ich mir z.B. auch eine Kulturflatrate vorstellen mit der man die Kundschaft vorsortiert. Ich habe z.B. mal für die Firma HRS http://firmen.ihk-koeln.de/de/firmen/fdb_266910944690.htm als EDV Berater gearbeitet. Das ist ein sehr ungünstiger Kunde, den man eigentlich nicht beschenken
Versehentlich habe ich dem Kunden ein Visual Age Enterprise Update 3.5 geschenkt. Also eigentlich war es schon absichlich, aber heute würde ich diese Absicht eher als Versehen bezeichnen ;-)
möchte, weil er im wesentlichen damit beschäftigt ist ein Wirtschaftsimperium auf Ausbeutung aufzubauen und dabei auch Verträge bricht. Ich habe beispielsweise die Schnittstelle von Pegasus Solutions http://www.pegs.com/ für HRS implementiert. Im Rahmen dieser Implementierung hat HRS mir keinen Vertrag vorgelegt und dadurch selbst die eigenen Verträge mit Pegasus Solutions absichtlich gebrochen. Unter anderem wurde die gesamte Datenbank mit Hoteldaten ausgelesen, die man für 2000 EUR pro Quartal (oder einen ähnlichen Betrag) auf CD hätte abonnieren müssen. Neben dem Vertragsbruch wird natürlich - branchenüblich - auch gelogen: Die Firma hat schon lange vor der Pegasus Anbindung behauptet, dass sie hundertausende Hotels anschließt, was aber erst durch Pegasus wahr wurde. Tatsächlich hatte man einige tausend Hotels unter Vertrag.
Die Probleme mit Java brachten mich auf die Idee man könnte doch ein JVM-basiertes Plugin aber ohne Java entwickeln, also z.B. ein Groovy-NetRexx-Jython-Kawa Plugin nur mit minimaler Unterstützung für Java (in dem Rahmen im dem die anderen Sprachen Java benötigen). Man könnte z.B. das Apache Harmony Browserplugin als Basis verwenden.
Alternativ könnte man ein Java Applet schreiben, die Sprachen in dem Applet integrieren, und dann aus dem Applet die DOM Nodes interpretieren, die als Sprachtyp die jeweilige Sprache fordern, aber dann hätte man wieder das Java Plugin mit seinen Sicherheitsproblemen als Basis.
Bernhard Fastenrath wrote:
Nachdem ich von Java Applets nach Oracles jüngsten Sicherheitsproblemen etwas abgekommen bin habe ich jetzt eine Version mit JavaScript in Arbeit. Falls jemand das Projekt als Open Source Projekt übernehmen möchte stelle ich den source code gerne weiter zur Verfügung, andernfalls wird das Projekt ab jetzt proprietär (da mein Open Source Projekt keine Interessenten gefunden hatte).
Das Projekt eignet sich beispielsweise auch gut für traditionelle Reisebüros, die ein paar Kunden zurückgewinnen möchten, die sie an das Internet verloren haben.
Sehr geehrter Herr Fastenrath,
ich denke, dass die FSFE-Listen eher ungeeignete Plätze sind, um Geschichten über vergangene Kundenbeziehungen zu erzählen.
Dazu kommt, dass diese Liste offen im Internet abgebildet wird:
http://www.mail-archive.com/fsfe-de@fsfeurope.org/msg05081.html
So unglücklich die Kundenbeziehung auch war, die Sache hier öffentlich zu machen könnte ein Bumerang werden und rechtliche Konsequenzen nach sich ziehen. Ich würde sowas nicht riskieren wollen.
Mit freundlichem Gruß
Robert Kehl
Bernhard Fastenrath Bernhard.Fastenrath.2@arcor.de, Tue, 29 Oct 2013 13:49:37 +0100:
Ich denke mir die meisten Nutzer können nur sehr begrenzt mit den z.B. bei Apache üblichen PGP Unterschriften unter der Software etwas anfangen.
Sollten wir nicht vielleicht mal eine Peerreview Bewertungsfunktion definieren, die die Qualität des Peerreviews das eine Software erhalten hat versucht qualitativ zu bestimmen?
Ich denke, das wäre ein Feature für die üblichen Paketsysteme, APT, YUM, und was da noch so ist. Im Ubuntu Software Center existiert bereits ein 5-Sterne Bewertungssystem. Das gibt allerdings eher die Nützlichkeit eines Programms an, nicht dessen Code-Qualität oder Sicherheit.
Neben der Signatur des Paketmaintainers, die angibt, dass ein Paket von einer bestimmten Person gebaut wurde (deren Vertrauenswürdigkeit und Fähigkeit du selbst einschätzen musst), würdest du dann noch Review-Signaturen einführen.
Diese Reviews müsstest du zum einen Kategorisieren (enthält keine Malware, ist ordentlich gelinted, hat menschliche Qualitätsprüfungen erfahren, ...). Gerade bei den subjektiven Angaben, müsstest du zudem noch gewichten, und das wird tricky. Z.B. würdest ich einem Paket, das von 14 BSA-Leuten gedownvoted, aber von, sagen wir Dan Kaminsky geupvoted wurde mehr vertrauen, als einem Paket, bei dem das umgedreht ist. Du müsstest die Signaturen der Reviewer also ihrerseits wieder an ein Reputationsmodell binden.
Eine Zertifizierungsstelle zu finden ist wiederum nicht das Problem. GPG Signaturen in einem Web-Of-Trust, oder mit Trustleveln, die von der Distro vorgegeben sind (wie beim Debian Keyring) sind meiner Meinung nach eigentlich ausreichend. So eine klassische CA ist im derzeitigen Zeitgeist wahrscheinlich eher kontraproduktiv.
Wie gesagt einiges zum Kopfzerbrechen, aber ich finde das Feature gehört auf die Wishlist für bestehende Paketsysteme.
Paul Hänsch wrote:
Bernhard Fastenrath Bernhard.Fastenrath.2@arcor.de, Tue, 29 Oct 2013 13:49:37 +0100:
Ich denke mir die meisten Nutzer können nur sehr begrenzt mit den z.B. bei Apache üblichen PGP Unterschriften unter der Software etwas anfangen.
Sollten wir nicht vielleicht mal eine Peerreview Bewertungsfunktion definieren, die die Qualität des Peerreviews das eine Software erhalten hat versucht qualitativ zu bestimmen?
Ich denke, das wäre ein Feature für die üblichen Paketsysteme, APT, YUM, und was da noch so ist. Im Ubuntu Software Center existiert bereits ein 5-Sterne Bewertungssystem. Das gibt allerdings eher die Nützlichkeit eines Programms an, nicht dessen Code-Qualität oder Sicherheit.
Neben der Signatur des Paketmaintainers, die angibt, dass ein Paket von einer bestimmten Person gebaut wurde (deren Vertrauenswürdigkeit und Fähigkeit du selbst einschätzen musst), würdest du dann noch Review-Signaturen einführen.
Diese Reviews müsstest du zum einen Kategorisieren (enthält keine Malware, ist ordentlich gelinted, hat menschliche Qualitätsprüfungen erfahren, ...). Gerade bei den subjektiven Angaben, müsstest du zudem noch gewichten, und das wird tricky. Z.B. würdest ich einem Paket, das von 14 BSA-Leuten gedownvoted, aber von, sagen wir Dan Kaminsky geupvoted wurde mehr vertrauen, als einem Paket, bei dem das umgedreht ist. Du müsstest die Signaturen der Reviewer also ihrerseits wieder an ein Reputationsmodell binden.
Eine Zertifizierungsstelle zu finden ist wiederum nicht das Problem. GPG Signaturen in einem Web-Of-Trust, oder mit Trustleveln, die von der Distro vorgegeben sind (wie beim Debian Keyring) sind meiner Meinung nach eigentlich ausreichend. So eine klassische CA ist im derzeitigen Zeitgeist wahrscheinlich eher kontraproduktiv.
Wie gesagt einiges zum Kopfzerbrechen, aber ich finde das Feature gehört auf die Wishlist für bestehende Paketsysteme.
Okay, dann bauen wir das doch einfach in den https://de.wikipedia.org/wiki/Smart_Package_Manager ein und schicken den patch an den Maintainer. Wer macht mit?