Am 4. März 2016 18:13:30 MEZ, schrieb walter harms <wha...@bfs.de>: > > > Am 04.03.2016 13:07, schrieb Radoje Stojisic: > > Wie wäre es mal, wenn wir das Gedankenspiel umdrehen: > > > > Die Fehler werden eben gefunden, *weil* es Open Source. > > Ich will nicht wissen wie viele solcher Fehler in Microsofts > Lösungen > > und Co. stecken, die nicht > > gefunden werden können, *weil* es eben kein Open Source ist. Und > wenn es > > jemand findet, dann verkauft es für gut Geld an ein Hacker Team. > > > > Somit stellt man sicher das keine dritte Instanz von dem Fehler > > profitieren kann, ohne das es der > > Endverbraucher letzendlich weiß. > > > > Es sieht doch so aus: > bei Open-Source bekommt jemand eine Mail und macht einen Bugfix. > > bei Closed-Source kann man den Bug verkaufen und das nicht unbedingt > an den Inhaber des Codes.
Oh, ein hochqualitativer Bug in sowas wie OpenSSH oder eben OpenSSL würde sicher auch Geld bringen! Aber sobald die Katze ausm Sack is stehen in kürzester Zeit Patches bereit, weil es a) Leute gibt, die sich dafür verantwortlich fühlen und b) welche, die von Firmen wie Google, Amazon, Facebook und Redhat dafür gut bezahlt werden, diese Probleme für _alle_ zu beheben und nicht nur die eigenen Kunden. Und in Produkten, deren Code nie jemand zu sehen bekommt und für den man keine Rechenschaft ablegen muss, solange man den neuen Eyecandy rechtzeitig zum funktionieren bekommt, haben die Leute ziemlich wenig Anreiz, sich um Nebensächlichkeiten wie „Sicherheit“ zu kümmern. Entsprechend lernt da kaum wer aus solchen Fehlern, wenn es keinen signifikanten Verlust an Gewinn bedeutet. Außerdem darf man eingesetzte Software von Oracle und SAP AFAIK nicht mal auf Sicherheitsprobleme untersuchen, ohne lizenzbrüchig zu werden. (Da sollten nützliche Argumente drinne sein, wenn auch vermutlich nicht allgemeinverständlich.) > > Was bei den meisten Firmen ein Problem ist, ist das weitermelden von > Bugs. Das geht gut mit Linuxdistributionen wo man in der Regel einen > Bugtracker hat, aber vielfach macht sich einfach keiner die Mühe. > (Von Patches wollen wir da mal lieber nicht reden). (Ach, weil gewisse Unternehmen sich jahrelang nicht die Mühe machen, Patches zu veröffentlichen?) > > re, > wh > Gruß, Florian > > > Grüße > > > > Radi > > > > Am 04.03.16 um 11:56 schrieb Matthias Kirschner: > >> * Henry Jensen <hjen...@gmx.de> [2016-03-04 10:28:59 +0100]: > >> > >>> > [...] _______________________________________________ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de