A nyílt forrás és a felelősség
Tavaly ősszel írtam a PHP 5 bizonyos beépítendő szolgáltatásai körül kialakult konfliktusokról, és a nyílt forrású projektek működésében is megpróbáltam megvilágítani azt, hogy a fejlesztők sokszor saját fejük után mennek, nem várhatunk el semmit, amíg nem válunk részesévé a folyamatnak, felemelkedve megfigyelői állásunkon. Most Stefan Esser WordPress - a hacker's paradise című blog bejegyzése keltett hasonló hullámokat.
Stefan blog bejegyzésében azt kifogásolja, hogy a WordPress fejlesztői nem törődnek a biztonsági figyelmeztetésekkel, hosszú ideig javítatlanul hagynak komoly sebezhetőségeket, és inkább új szolgáltatások beépítésével töltik az időt. Marcus Whitney azonban más állásponton van, mely hasonló az általam korábban kifejtettel. Azt mondja, hogy mint a nyílt forrású szoftverek felhasználói, nem várhatunk el semmit, fel kell készülnünk arra, hogy valami gond lehet, hiszen pontosan annyi garanciát kaptunk, amennyit fizettünk a szoftverért: semmit sem. Wez Furlong véleménye kicsit árnyaltabb, inkább azt mondja, hogy a felelősségteljesen viselkedő nyílt forrású szoftverfejsztők a Kiváló Projekt címet nyerik el (a felhasználók körében), míg a felelősséget egyáltalán vállalók nem kerülnek be ebbe a kivételes klubba. És azt, hogy mely projektek tartoznak oda, csak a közösségtől lehet megtudni.
Kiváncsi vagyok, mi olvasóink véleménye erről, mit várnak el általában egy nyílt forrású projekttől, követik-e a biztonsági figyelmeztetéseket?
■ Stefan blog bejegyzésében azt kifogásolja, hogy a WordPress fejlesztői nem törődnek a biztonsági figyelmeztetésekkel, hosszú ideig javítatlanul hagynak komoly sebezhetőségeket, és inkább új szolgáltatások beépítésével töltik az időt. Marcus Whitney azonban más állásponton van, mely hasonló az általam korábban kifejtettel. Azt mondja, hogy mint a nyílt forrású szoftverek felhasználói, nem várhatunk el semmit, fel kell készülnünk arra, hogy valami gond lehet, hiszen pontosan annyi garanciát kaptunk, amennyit fizettünk a szoftverért: semmit sem. Wez Furlong véleménye kicsit árnyaltabb, inkább azt mondja, hogy a felelősségteljesen viselkedő nyílt forrású szoftverfejsztők a Kiváló Projekt címet nyerik el (a felhasználók körében), míg a felelősséget egyáltalán vállalók nem kerülnek be ebbe a kivételes klubba. És azt, hogy mely projektek tartoznak oda, csak a közösségtől lehet megtudni.
Kiváncsi vagyok, mi olvasóink véleménye erről, mit várnak el általában egy nyílt forrású projekttől, követik-e a biztonsági figyelmeztetéseket?
A Tudás csak akkor ér valamit, ha elérhető...
Ezen tapasztalatok alapján inkább Marcus véleménye tűnik életszagúbbnak.
Sajnos a közösség sem minden, és nem csak a projektnek, de a köré szerveződő csoportoknak is ki kell érdemelnie a Kiváló jelzőt.
(Egyébként ebből a szempontból is kiemelkedőnek tartom a Weblabor portált.)
Tehát nem csak az a kérdés, hogy követjük-e a biztonsági figyelmeztetéseket... az is fontos, hogy legyen mit követni és legyen olyan forrás, amin keresztül elérhetők ezek az információk.
Minden rendelkezésre áll
Egy nyílt projekt esetén lehetőség van a hiba javítására saját hatáskörben és nem kell megvárni amíg a projekt fejlesztői reagálnak (nyilván érteni kell a dolgunkat :).
Ezért én is azt mondom, hogy ne legyenek túlzott elvárásaink. Nyilván ha választani kell, akkor olyan projektet választ az ember fia, amelyik jobban reagál az ilyen helyzetekre, de bizony ettől még vigyázó szemeinket nem vehetjük le az általunk üzemeltetett rendszerről. Mindennek ára van...
üdv,
Zila
A pénz nem feltétlenül biztosíték
Nem hiszek a hibátlan programokban, a nyílt forráskóddal viszont szimpatizálok. Ez merőben szubjektív dolog, szerintem érdemes használni nyílt cuccokat, de mellette érdemes feliratkozni a phpsec listára is. :) Hamar kiderül, hogy drupalt pl. érdemes használni, phpBB-t meg nem annyira.
A nagyobb baj az, hogy egy-egy termék sikerét nem feltétlenül a hozzáértő - és ennek megfelelően szűk - közönség dönti el (kinek kiváló az a project?), lásd php-Nuke, így hamar elburjánzik egy-egy szerencsétlenebb alkotás, szerverek rakását veszélyeztetve. (És akkor jön a gpc_magic_quotes, meg hasonlók, és máris ördögi körbe kerültünk.)
Szvsz