Peerreview Bewertungsfunktion

Paul Hänsch paul at fsfe.org
Di Okt 29 21:35:18 UTC 2013


Bernhard Fastenrath <Bernhard.Fastenrath.2 at arcor.de>, Tue, 29 Oct 2013
13:49:37 +0100:
> Ich denke mir die meisten Nutzer können nur sehr begrenzt mit den
> z.B. bei Apache
> üblichen PGP Unterschriften unter der Software etwas anfangen.
> 
> Sollten wir nicht vielleicht mal eine Peerreview Bewertungsfunktion 
> definieren,
> die die Qualität des Peerreviews das eine Software erhalten hat
> versucht qualitativ zu bestimmen?

Ich denke, das wäre ein Feature für die üblichen Paketsysteme, APT,
YUM, und was da noch so ist. Im Ubuntu Software Center existiert
bereits ein 5-Sterne Bewertungssystem. Das gibt allerdings eher die
Nützlichkeit eines Programms an, nicht dessen Code-Qualität oder
Sicherheit.

Neben der Signatur des Paketmaintainers, die angibt, dass ein Paket von
einer bestimmten Person gebaut wurde (deren Vertrauenswürdigkeit und
Fähigkeit du selbst einschätzen musst), würdest du dann noch
Review-Signaturen einführen.

Diese Reviews müsstest du zum einen Kategorisieren (enthält keine
Malware, ist ordentlich gelinted, hat menschliche Qualitätsprüfungen
erfahren, ...). Gerade bei den subjektiven Angaben, müsstest du zudem
noch gewichten, und das wird tricky. Z.B. würdest ich einem Paket, das
von 14 BSA-Leuten gedownvoted, aber von, sagen wir Dan Kaminsky
geupvoted wurde mehr vertrauen, als einem Paket, bei dem das umgedreht
ist. Du müsstest die Signaturen der Reviewer also ihrerseits wieder an
ein Reputationsmodell binden.

Eine Zertifizierungsstelle zu finden ist wiederum nicht das Problem.
GPG Signaturen in einem Web-Of-Trust, oder mit Trustleveln, die von der
Distro vorgegeben sind (wie beim Debian Keyring) sind meiner
Meinung nach eigentlich ausreichend. So eine klassische CA ist im
derzeitigen Zeitgeist wahrscheinlich eher kontraproduktiv.

Wie gesagt einiges zum Kopfzerbrechen, aber ich finde das Feature gehört
auf die Wishlist für bestehende Paketsysteme.

-- 
Paul Hänsch                        █▉     Jabber: paul at jabber.fsfe.org
Webmaster                        █▉█▉█▉               Support the FSFE
Free Software Foundation Europe    ▉▉    http://fsfe.org/support/?paul
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20131029/dd151f67/attachment.sig>


Mehr Informationen über die Mailingliste FSFE-de