Sicherheit Freier Software
willi uebelherr
willi.uebelherr at gmx.de
Sa Apr 8 06:23:59 UTC 2017
Lieber Matthias,
spontan will ich auch meine sichtweise hinzu fuegen.
- Qualität der Entwicklung
Ist nur nach vorgabe der kriterien bestimmbar. Das gilt auch bei
propietaerer software.
Modularisierung, autonome bereiche, datenflusstrukturen, objektbildung,
dokumentation der modellierung und implementierung, die textuelle
struktur, laufzeit verhalten, vorhersagbarkeit der zeitlichen ablaeufe.
Das hat auch viel mit einzelaktion oder teamarbeit zu tun. Ebenso mit
der gewuenschten lebenszeit und anwendungsdichte.
Nur auf der grundlage freier software ist dies ueberpruefbar, um der
moeglichen kombinatorik gerecht zu werden. Bei propietaerer software nur
mit Re-engineering.
- Life-Cycle-Management
Ich vermute, du meinst versionsverlaeufe. Die problematik ist an die
kontinuitaet der entwickler(gruppe) gebunden. Allerdings sind wir nur
mit freier software in der lage, selbst hand anzulegen.
- Bewertbarkeit von Sicherheit durch Dritte
Im eingeschraenkten funktionalen raum gilt es fuer beide bereiche. Auch
fuer die kombinatorischen simulationen, die nicht real sein muessen.
Also nicht in der anwendung entstehen.
Wenn wir aber den raum der gesamten kombinatorik untersuchen wollen,
brauchen wir den Source-Code, um das kombinatorische potential
abschaetzen zu koennen, das auch intern vorhanden ist.
- Verfahren der Schließung von Sicherheitslücken, Reaktionszeit
Auch hier ist die basis bei freier und propietaerer software die
gleiche. Erst wenn die entwickler(gruppe) nicht mehr existiert oder
nicht reagiert, brauchen wir den Source-Code.
- Rechtliche Verantwortung
Das hat ja Hanne schon deutlich erklaert. Ich kenne mich damit nicht aus.
Generell:
Viele augen sehen mehr. Das setzt die teilnehmer voraus. Im propietaeren
bereich ist das limitiert. Im freien bereich offen.
Unter der vorraussetzung, dass aktive anwender existieren, hat die
propietaere software keine zukunft. Weder qualitativ, noch unter
stabilitaet, noch unter anpassungsfaehigkeit.
Es ist aber nur ein potential. Wenn der konsumismus dominiert, ist es
sowieso das gleiche. Dann koennen wir uns mit einer formalen checkliste
behelfen, die immer nur einen kleinen teil des funktionalen raums
pruefbar macht.
mit lieben gruessen, willi
On 7/4/2017 05:00, Matthias Kirschner wrote:
> Ich bin übernächste Woche zu einer Tages-Veranstaltung eingelanden bei
> der es um die Sicherheitsbilanz von Freier Software geht. Könntet ihr
> mir noch etwas Rückmeldung dazu geben, wie ihr die Punkte seht?
>
> Zu der Veranstaltung: Im ersten Schritt soll herausgearbeitet werden,
> welche (für Sicherheit erheblichen) Charakteristika freie Software und
> proprietäre Software unterscheiden:
>
> - Qualität der Entwicklung (Hierzu habe ich z.B. gestern den
> Interessanten Artikel gelesen: https://lwn.net/Articles/718411/ )
> - Life-Cycle-Management
> - Bewertbarkeit von Sicherheit durch Dritte
> - Verfahren der Schließung von Sicherheitslücken, Reaktionszeit
> - Rechtliche Verantwortung
>
> Im zweiten Schritt soll bei der Veranstaltung ein Raster entwickelt
> werden, das Anwender von Software anlegen können, um
> anwendungsspezifisch zu beurteilen, ob für die Sicherheitsanforderungen
> des jeweiligen Bereichs der Einsatz von freier oder proprietärer
> Software eine bessere Sicherheitsbilanz aufweist.
>
> Freue mich über Eure Kommentare/Verweise/Anregungen.
>
> Dankeschön
> Matthias
>
Mehr Informationen über die Mailingliste FSFE-de