@dpazra: Der dauerte aber :)
@dpazra: Wie ich weiter unten schon ausgeführt habe kann man die Offenheit der OSS-Community meiner Meinung nach auch durchaus problematisch sehen. (Stichwort "Doppelagent")
Da bringt auch Transparenz nichts.
Ja du kannst die Diskussion lesen, ja du kannst einem einzelnen Entwickler tief im Prozess vertrauen. Aber welcher 0815 User kann dies?
Für den 0815 Benutzer ist die Transparenz irrelevant, da er sie nicht nutzen kann.
Um die Software zu benutzen muss er gezwungenermaßen dem Hersteller der Software vertrauen. Egal ob dies eine transparente OSS-Community ist oder eine intransparente Microsoft.
Bei Wahlen würde ich kleinere Mogelleien absolut nicht ausschließen wollen, hier habe ich also kein 100%iges Vertrauen. Dennoch werden die Wahlen überwacht, was eine gewisse Sicherheit aufkommen lässt.
Aber selbst wenn hier betrogen wird, werden die Auswirkungen minimal sein, da größere Betrügerreien auffallen würden.
Gleiches bei den Hilfsorganisationen. Auch hier nehme ich an, dass nicht alles 100%ig korrekt läuft. Auch hier wird überwacht (Steuerprüfung, Finanzämter, etc).
Aber auch hier sind die Auswirkungen "kleinerer" Auffälligkeiten nicht so schlimm.
Nun nehmen wir Software. Software, sowas wie ein Betriebssystem, aber auch "kleinere" Sachen, wie Mail-Programme, gehen vom Umfang und der Komplexität ganz schnell über den Verstand eines einzelnen Menschen hinaus.
Kein einzelner Mensch wird jemals sagen können, ob in einem beliebigen Linux Derivat KEINE Backdoor ist. Auch ein Audit kann dies nicht vollständig sichern.
Das Problem ist hier nicht die Transparenz sondern die Auswirkung eines einzigen übersehnen Fehlers. Eine einzige nicht gefundene Backdoor komprimitiert das gesamte System.
Im Vergleich ist eine Wahl nicht gleich völlig falsch, wenn eine Wahlstimme manipuliert wurde.
Und eine Hilfsorganisation ist nicht komplett abzulehnen, wenn hier mal ein Euro (von mir aus auch absichtlich) falsch verwendet wurde.
Deshalb bringt es meiner Meinung nach nicht viel, dass der Prozess transparent ist, da bei der kleinsten Kompromitierung sämtliche Sicherheit der Software dahin ist. Also muss ich als einfacher Anwender, dem Softwarehersteller vertrauen. Und in dem Maße spielt es eben meiner Meinung nach keine Rolle ob das eine OSS-Bude oder ein CSS-Bude ist. Ein einzelner kompromitierter Baustein lässt das ganze Haus zusammenbrechen. Und ich kann nicht einfach 1-2 Leuten vertrauen, diesen Baustein unter Millionen zu finden.
Und du als engagierter Anwender bist noch bereit dich zumindest über die Entwicklung zu informieren. Aber bei wieviel % deiner eingesetzten Software machst du das? Machst du das beispielweise auch beim Treiber deiner Netzwerkkarte?
Langer Rede kurzer Sinn...dadurch, dass die kleinste Backdoor in einer Software die komplette Software kompromitiert, spielt meiner Meinung nach die Transparenz der Entwicklung keine (kaum eine) Rolle, dafür das Vertrauen umso mehr.
@Draco2007: Das mit dem Doppelagent sehe ich erstmal überhaupt nicht. Ein Commit von einem "Niemand" wird besonders kritisch beäugt werden, natürlich kann er anfangen sich Vertrauen zu erarbeiten, aber genauso kann sich der Doppelagent bei Microsoft auf eine Stelle als Entwickler bewerben.
Ich beginne mal mit dem grundsätzlichen.
Transparenz ist nicht irrelevant. Du versuchst diesen Vorteil für Softwareentwicklung kleinzureden, worauf ich gleich eingehen werde, aber wegzureden ist er nicht. Ein transparenter Prozess ist inhärent vertrauenswürdiger als ein nichttransparenter, ich sehe nicht, wie hier ein Gegenargument gefunden werden könnte.
Oder andersherum: Es ist für geschlossene Software nicht möglich einen Vertrauenspunkt zu erlangen, der nicht durch freie Software erlangt werden könnte, andersherum aber schon. Wenn du sagst, der Einstellungsprozess bei Microsoft schreckt z.B. Doppelagenten ab, du kannst auch ein freies Softwareprojekt starten, dass jeden Commit durch einen hauptberuflichen Entwickler absegnen lässt (Patches für den Linux Kernel gehen übrigens immer durch eine mehrstufige Absegnung, jede einzelne Zeile Code).
Der Schwerpunkt deiner Antwort scheint deine Einschätzung der Auswirkungen von Kleinstfehlern. Erstens sollte man diese nicht überschätzen. Wenn kleine Fehler erlauben das gesamte System zu kompromittieren, dann wird dies publik, allerdings werden jedes Jahr tausende Bugs auf der Welt gefixt, die irgendwo schon sicherheitsrelevante Bereiche betreffen, ohne das tatsächlich ein Exploit gezeigt werden könnte.
Vor allem ist die Frage nach kleinen Fehlern aber weniger eine Frage von Vertrauen daran, dass man nicht bewusst hintergangen wird, sondern eine Frage von Vertrauen in die Qualität. Hier siegt OpenSource Software (die meistens freie Software ist) sowieso, zumindest bei jeder Untersuchung, die ich je über dieses Thema gelesen habe.
Anmelden