Smart Package Manager (war: Peerreview Bewertungsfunktion)
Bernhard Fastenrath
Bernhard.Fastenrath.2 at arcor.de
Mi Okt 30 10:40:00 UTC 2013
Paul Hänsch wrote:
> Bernhard Fastenrath <Bernhard.Fastenrath.2 at arcor.de>, Tue, 29 Oct 2013
> 13:49:37 +0100:
>> Ich denke mir die meisten Nutzer können nur sehr begrenzt mit den
>> z.B. bei Apache
>> üblichen PGP Unterschriften unter der Software etwas anfangen.
>>
>> Sollten wir nicht vielleicht mal eine Peerreview Bewertungsfunktion
>> definieren,
>> die die Qualität des Peerreviews das eine Software erhalten hat
>> versucht qualitativ zu bestimmen?
> Ich denke, das wäre ein Feature für die üblichen Paketsysteme, APT,
> YUM, und was da noch so ist. Im Ubuntu Software Center existiert
> bereits ein 5-Sterne Bewertungssystem. Das gibt allerdings eher die
> Nützlichkeit eines Programms an, nicht dessen Code-Qualität oder
> Sicherheit.
>
> Neben der Signatur des Paketmaintainers, die angibt, dass ein Paket von
> einer bestimmten Person gebaut wurde (deren Vertrauenswürdigkeit und
> Fähigkeit du selbst einschätzen musst), würdest du dann noch
> Review-Signaturen einführen.
>
> Diese Reviews müsstest du zum einen Kategorisieren (enthält keine
> Malware, ist ordentlich gelinted, hat menschliche Qualitätsprüfungen
> erfahren, ...). Gerade bei den subjektiven Angaben, müsstest du zudem
> noch gewichten, und das wird tricky. Z.B. würdest ich einem Paket, das
> von 14 BSA-Leuten gedownvoted, aber von, sagen wir Dan Kaminsky
> geupvoted wurde mehr vertrauen, als einem Paket, bei dem das umgedreht
> ist. Du müsstest die Signaturen der Reviewer also ihrerseits wieder an
> ein Reputationsmodell binden.
>
> Eine Zertifizierungsstelle zu finden ist wiederum nicht das Problem.
> GPG Signaturen in einem Web-Of-Trust, oder mit Trustleveln, die von der
> Distro vorgegeben sind (wie beim Debian Keyring) sind meiner
> Meinung nach eigentlich ausreichend. So eine klassische CA ist im
> derzeitigen Zeitgeist wahrscheinlich eher kontraproduktiv.
>
> Wie gesagt einiges zum Kopfzerbrechen, aber ich finde das Feature gehört
> auf die Wishlist für bestehende Paketsysteme.
Okay, dann bauen wir das doch einfach in den
https://de.wikipedia.org/wiki/Smart_Package_Manager
ein und schicken den patch an den Maintainer. Wer macht mit?
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : Bernhard_Fastenrath_2.vcf
Dateityp : text/x-vcard
Dateigröße : 342 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20131030/e6454d70/attachment.vcf>
Mehr Informationen über die Mailingliste FSFE-de