ugrás a tartalomhoz

A nyílt forrás és a felelősség

Hojtsy Gábor · 2005. Aug. 15. (H), 21.29
Tavaly ősszel írtam a PHP 5 bizonyos beépítendő szolgáltatásai körül kialakult konfliktusokról, és a nyílt forrású projektek működésében is megpróbáltam megvilágítani azt, hogy a fejlesztők sokszor saját fejük után mennek, nem várhatunk el semmit, amíg nem válunk részesévé a folyamatnak, felemelkedve megfigyelői állásunkon. Most Stefan Esser WordPress - a hacker's paradise című blog bejegyzése keltett hasonló hullámokat.

Stefan blog bejegyzésében azt kifogásolja, hogy a WordPress fejlesztői nem törődnek a biztonsági figyelmeztetésekkel, hosszú ideig javítatlanul hagynak komoly sebezhetőségeket, és inkább új szolgáltatások beépítésével töltik az időt. Marcus Whitney azonban más állásponton van, mely hasonló az általam korábban kifejtettel. Azt mondja, hogy mint a nyílt forrású szoftverek felhasználói, nem várhatunk el semmit, fel kell készülnünk arra, hogy valami gond lehet, hiszen pontosan annyi garanciát kaptunk, amennyit fizettünk a szoftverért: semmit sem. Wez Furlong véleménye kicsit árnyaltabb, inkább azt mondja, hogy a felelősségteljesen viselkedő nyílt forrású szoftverfejsztők a Kiváló Projekt címet nyerik el (a felhasználók körében), míg a felelősséget egyáltalán vállalók nem kerülnek be ebbe a kivételes klubba. És azt, hogy mely projektek tartoznak oda, csak a közösségtől lehet megtudni.

Kiváncsi vagyok, mi olvasóink véleménye erről, mit várnak el általában egy nyílt forrású projekttől, követik-e a biztonsági figyelmeztetéseket?
 
1

A Tudás csak akkor ér valamit, ha elérhető...

Nagy Péter · 2005. Aug. 15. (H), 22.24
Töbször belefutottam már olyan problémába nyílt forráskóú szoftvernél, hogy a információ - miszerint biztonsági problémák vannak a szoftverrel kapcsolatban - csak későn jutottak el hozzám. Két - egy ismerősöm és egy általam üzemeltetett - szervert is feltörtek egy olyan biztonsági rést kihasználva, aminek a létezéséről addig nem is tudtam. Csak amikor a "tűzoltás" elkezdődött derült ki néhány fórumozó hozzászólásából, hogy létezik a probléma és nem mi vagyunk az elsők, akik belefutottak.

Ezen tapasztalatok alapján inkább Marcus véleménye tűnik életszagúbbnak.

Sajnos a közösség sem minden, és nem csak a projektnek, de a köré szerveződő csoportoknak is ki kell érdemelnie a Kiváló jelzőt.
(Egyébként ebből a szempontból is kiemelkedőnek tartom a Weblabor portált.)

Tehát nem csak az a kérdés, hogy követjük-e a biztonsági figyelmeztetéseket... az is fontos, hogy legyen mit követni és legyen olyan forrás, amin keresztül elérhetők ezek az információk.
2

Minden rendelkezésre áll

zila · 2005. Aug. 15. (H), 23.14
Nekem volt már szerencsém zárt kódú szoftverekhez nyújtott támogatáshoz... Azt is tudjuk, hogy bizony ezen szoftverek hibái is sokáig foltozatlanul maradhatnak.

Egy nyílt projekt esetén lehetőség van a hiba javítására saját hatáskörben és nem kell megvárni amíg a projekt fejlesztői reagálnak (nyilván érteni kell a dolgunkat :).

Ezért én is azt mondom, hogy ne legyenek túlzott elvárásaink. Nyilván ha választani kell, akkor olyan projektet választ az ember fia, amelyik jobban reagál az ilyen helyzetekre, de bizony ettől még vigyázó szemeinket nem vehetjük le az általunk üzemeltetett rendszerről. Mindennek ára van...

üdv,
Zila
3

A pénz nem feltétlenül biztosíték

Dualon · 2005. Aug. 16. (K), 18.49
Szerintem nem feltétlenül biztosíték az, hogy egy szoftverért fizetni kell, sőt... sok tekintetben - ahogy azt itt már említette valaki - a nyílt forráskódú programok fejlesztői hamarabb reagálnak.
Nem hiszek a hibátlan programokban, a nyílt forráskóddal viszont szimpatizálok. Ez merőben szubjektív dolog, szerintem érdemes használni nyílt cuccokat, de mellette érdemes feliratkozni a phpsec listára is. :) Hamar kiderül, hogy drupalt pl. érdemes használni, phpBB-t meg nem annyira.

A nagyobb baj az, hogy egy-egy termék sikerét nem feltétlenül a hozzáértő - és ennek megfelelően szűk - közönség dönti el (kinek kiváló az a project?), lásd php-Nuke, így hamar elburjánzik egy-egy szerencsétlenebb alkotás, szerverek rakását veszélyeztetve. (És akkor jön a gpc_magic_quotes, meg hasonlók, és máris ördögi körbe kerültünk.)
4

Szvsz

tiny · 2005. Aug. 17. (Sze), 20.46
Úgy vettem észre, hogy a súlyos hibákra a zárt forrású programok fejlesztői is igyekeznek minél gyorsabban reagálni, de a kényelmi vagy egyéb kevesebb embert érintő problémákat figyelmen kívül hagyják. A nyílt forráskódú programoknál pedig csakis a közösség dönti el, hogy a hibánk milyen gyorsan kerül javításra. Általában mindkét "táborra" jellemző az, hogy a hibákra kíváncsiak, gyakran hibajelentésre is kapunk automatikusan lehetőséget egy-egy leállásnál.