Hallo Matthias,
ich bin mir nicht sicher, ob sich das folgende brauchen lässt. Denn im wesentlichen kennen wir das alles bzw. ist ja der FSFE bekannt.
Ich arbeite meist in heterogenen Umgebungen, die aus freien und nicht-freien Komponenten bestehen. Dem Artikel auf LWN kann ich nur z. T. zustimmen. Das dort beschriebene "Review-Problem" besteht auch in der Entwicklung nicht-freier Software.
Was die Fragen der Qualität und Sicherheit Freier Software betrifft komme ich immer wieder auf David Wheelers' Artikel [1] zurück, obwohl dieser gerade was seine Zahlen aus der Sektion Security betrifft sehr alt ist. Die freien Software Entwicklungsmodelle haben für mich in Sachen Qualität einen nicht zu unterschätzenden Vorteil. - Die Entwickler die sich für ein Projekt entscheiden, und Code beisteuern leben für die Sache die sie tun. Sie haben sich in der Regel bewusst für das Projekt entschieden. Bei Entwicklung nicht-freier Software haben die meisten Entwickler nur einen "Job" - sie programmieren evtl. ein Stück Software, dass sie in keinster Weise interessiert.
Life-Cycle-Management - ein großer Begriff. Ich mache es mal kleiner Patch-Management (ein Teil von Life-Cycle-Management). Ist bei Applikationen die in die jeweilige Distribution eingebaut sind unproblematisch - solange man bei dem bleibt, was mitgeliefert wird. Hier wird einmal die Distribution aktualisiert und fertig. Das sieht bei MS Windows z. B. komplett anders aus. Sobald man mit Dritthersteller-Software auf einem Windows-Server arbeitet, muss separiert vom System jede Dritt-Software angepasst werden. Das wird i.d.R. durch weitere Software-Management/Rollout-Tools bei den proprietären System kompensiert. Kostet dennoch Geld und Zeit, und Kontrolle der System-Umgebung wird aufwändiger.
Generell denke ich, dass das Life-Cycle-Management eben durch die Vielfalt der Distributionen besser abgedeckt wird als bei proprietären Systemen, die sich nur auf den Kern beschränken. Das war alles ersteinmal durch die OS-Brille gesehen...
Die Bewertbarkeit durch Dritte kann bei prorietärer Software meiner Meinung nach nicht so effizient sein wie bei freier Software. Denn freie Software erlaubt Code-Audits, und damit verbunden _intensive_ Tests die bei vielen proprietären Produkten so nicht möglich sind. David Wheeler stellte seinerzeit die These auf, dass die meisten Sicherheitslücken bei Freier Software eben durch Code-Audits gefunden werden und wurden.
Das Thema "Rechtliche Verantwortung" kommt immer wieder auf. Insb. von Leuten die der Meinung sind, dass hinter den proprietären Produkten z. T. große Unternehmen stehen, die die Verantwortung übernehmen. Das stimmt in der Praxis nicht, denn diese Unternehmen entziehen sich dieser Verantwortung per Lizenz. Ich denke es gibt weder in der nicht-freien noch in der freien Software Welt diese rechtliche Verantwortung. Diese wird im Zweifel auf den Betreiber der Systemumgebung, Plattform oder auch "Cloud" abgewälzt, der dann mit Hilfe von Life-Cycle-Management alles aktuell halten und daneben regelmäßige Tests durchführen muß.
Wie auch immer, es gibt noch vieles mehr zu den Punkten zu sagen...
Ich möchte anregen ggf. einen Punkt zu Datenschutz per Verschlüsselung mit aufzunehmen, um aufzuzeigen, wie wichtig freie Algorythmen in Verbindung mit Freier Software sind. Kann mir aber auch Denke, dass Deine Veranstalung einen ganz anderen Ansatz verfolgt.
Viele Grüße, Volker
[1] https://www.dwheeler.com/oss_fs_why.html
-- Volker Dormeyer Systementwicklung volker@ixolution.de Lösungen mit Freier Software (http://www.ixolution.de) Berliner Strasse 9 :: 64331 Weiterstadt :: Telefon 06150-972982-10
On 04/07/2017 10:00 AM, Matthias Kirschner wrote:
Ich bin übernächste Woche zu einer Tages-Veranstaltung eingelanden bei der es um die Sicherheitsbilanz von Freier Software geht. Könntet ihr mir noch etwas Rückmeldung dazu geben, wie ihr die Punkte seht?
Zu der Veranstaltung: Im ersten Schritt soll herausgearbeitet werden, welche (für Sicherheit erheblichen) Charakteristika freie Software und proprietäre Software unterscheiden:
- Qualität der Entwicklung (Hierzu habe ich z.B. gestern den Interessanten Artikel gelesen: https://lwn.net/Articles/718411/ )
- Life-Cycle-Management
- Bewertbarkeit von Sicherheit durch Dritte
- Verfahren der Schließung von Sicherheitslücken, Reaktionszeit
- Rechtliche Verantwortung
Im zweiten Schritt soll bei der Veranstaltung ein Raster entwickelt werden, das Anwender von Software anlegen können, um anwendungsspezifisch zu beurteilen, ob für die Sicherheitsanforderungen des jeweiligen Bereichs der Einsatz von freier oder proprietärer Software eine bessere Sicherheitsbilanz aufweist.
Freue mich über Eure Kommentare/Verweise/Anregungen.
Dankeschön Matthias