Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Florian Ermisch
florian.ermisch at alumni.tu-berlin.de
Fr Mär 4 23:56:00 UTC 2016
Am 4. März 2016 18:13:30 MEZ, schrieb walter harms <wharms at bfs.de>:
>
>
> Am 04.03.2016 13:07, schrieb Radoje Stojisic:
> > Wie wäre es mal, wenn wir das Gedankenspiel umdrehen:
> >
> > Die Fehler werden eben gefunden, *weil* es Open Source.
> > Ich will nicht wissen wie viele solcher Fehler in Microsofts
> Lösungen
> > und Co. stecken, die nicht
> > gefunden werden können, *weil* es eben kein Open Source ist. Und
> wenn es
> > jemand findet, dann verkauft es für gut Geld an ein Hacker Team.
> >
> > Somit stellt man sicher das keine dritte Instanz von dem Fehler
> > profitieren kann, ohne das es der
> > Endverbraucher letzendlich weiß.
> >
>
> Es sieht doch so aus:
> bei Open-Source bekommt jemand eine Mail und macht einen Bugfix.
>
> bei Closed-Source kann man den Bug verkaufen und das nicht unbedingt
> an den Inhaber des Codes.
Oh, ein hochqualitativer Bug in sowas
wie OpenSSH oder eben OpenSSL würde
sicher auch Geld bringen!
Aber sobald die Katze ausm Sack is
stehen in kürzester Zeit Patches bereit,
weil es a) Leute gibt, die sich dafür
verantwortlich fühlen und b) welche, die
von Firmen wie Google, Amazon,
Facebook und Redhat dafür gut bezahlt
werden, diese Probleme für _alle_ zu
beheben und nicht nur die eigenen
Kunden.
Und in Produkten, deren Code nie jemand
zu sehen bekommt und für den man keine
Rechenschaft ablegen muss, solange
man den neuen Eyecandy rechtzeitig zum
funktionieren bekommt, haben die Leute
ziemlich wenig Anreiz, sich um Nebensächlichkeiten wie „Sicherheit“ zu
kümmern.
Entsprechend lernt da kaum wer aus
solchen Fehlern, wenn es keinen
signifikanten Verlust an Gewinn bedeutet.
Außerdem darf man eingesetzte Software
von Oracle und SAP AFAIK nicht mal auf Sicherheitsprobleme untersuchen, ohne
lizenzbrüchig zu werden.
(Da sollten nützliche Argumente drinne
sein, wenn auch vermutlich nicht
allgemeinverständlich.)
>
> Was bei den meisten Firmen ein Problem ist, ist das weitermelden von
> Bugs. Das geht gut mit Linuxdistributionen wo man in der Regel einen
> Bugtracker hat, aber vielfach macht sich einfach keiner die Mühe.
> (Von Patches wollen wir da mal lieber nicht reden).
(Ach, weil gewisse Unternehmen sich
jahrelang nicht die Mühe machen,
Patches zu veröffentlichen?)
>
> re,
> wh
>
Gruß, Florian
>
> > Grüße
> >
> > Radi
> >
> > Am 04.03.16 um 11:56 schrieb Matthias Kirschner:
> >> * Henry Jensen <hjensen at gmx.de> [2016-03-04 10:28:59 +0100]:
> >>
> >>>
> [...]
Mehr Informationen über die Mailingliste FSFE-de