Verbetert open-source de veiligheid van een applicatie?

Bij iets als Linux of Apache ben ik het met je eens. Maar open source an sich wat mij betreft niet. Open source is namelijk heel veel meer dan de grote paar applicaties. Een beleid bij bedrijven dat perse OS voorschrijft vindt ik dan ook niet per se een handige. Kleinere OS applicaties zijn net zo open source , hier is het wegens de source eenvoudiger om gericht naar gaten te zoeken om maar ze krijgen heel veel minder aandacht van de community zodat fouten minder snel worden ontdekt en het overgrote deel van de wereld (bij bedrijven en thuis) weet niet zelf hoe goed naar de code te kijken. In dat soort gevallen is security by obscurity IMHO een hele grote extra barriere.

Ergens het labeltje 'Open source' opplakken maakt het nog niet ineens veilig. De gesuggereerde voordelen van Open Source zijn dat andere mensen je code kunnen controleren, en dat je hulp krijgt van ervaren programmeurs over de hele wereld.

Vooral dat laatste wordt erg vaak aangehaald, maar wat is nou de garantie dat, wanneer je een applicatie released als open source, je ook daadwerkelijk substantiele hulp krijgt van programmeurs die ervaren genoeg zijn om iets over een willekeurige ingewikkelde applicatie te kunnen zeggen, en die tijd willen besteden aan jouw app?

Het is bekend dat veel grote OS projecten veel bekijks trekken vanuit de programmeer-community, maar als ik lees dat zelfs Firefox (wat toch een van de bekendste en vooraanstaande OS projecten is) al weinig tot geen externe code krijgt, krab ik me toch even op het achterhoofd.

OS is dan wel een term die hot is in de markt (op het moment), maar dat leidt natuurlijk ook tot afbraak van het principe. Zo maken veel bedrijven gebruik van de strategie om wat software te opensourcen om zo makkelijker binnen te komen bij klanten. OS wordt dan gebruikt als marketingtool.
Ook voor eindgebruikers geldt dat: er zijn zoveel OS fanaten die blindelings afgaan op het labeltje opensource, terwijl ik betwijfel of meer dan de helft van die mensen voldoende kennis heeft om de code te begrijpen, al kunnen ze hem inzien.

En dan nog, toon eens aan dat een gesloten team van programmeurs per definitie slechter is dan een community waarin weet-ik-veel wie allerlei code instuurt die vervolgens grondig gecontroleerd moet worden? Het is populair om Microsoft te haten, maar maakt dat closed source ook echt onveiliger?

Last but not least moeten we niet vergeten dat de populariteit van OS voor een groot deel veroorzaakt wordt door het feit dat het gelijkgesteld wordt aan "Gratis". Zelfs terwijl dat soms niet zo is. Zoals ik al eerder zei, het grootste deel van de OS-fanaten die roepen dat open code meer veiligheid geeft, zou zelf niet in staat zijn die code te lezen, en is dus niet in staat om daadwerkelijk bij te dragen.
Dus is het lekker makkelijk om te roepen dat open source zo goed is, zelf met het voordeel (gratis software) gaan lopen en anderen het werk laten doen.

Hmm, zijn open source app's echt veiliger ? Ik denk het niet.
Je kan wel zeggen dat er duizenden mensen zijn die de code van open source app's kunnen bekijken, en evt security-leaks kunnen vinden en dichten, maar bij commerciele software-huizen worden er ook wel code-reviews gedaan hoor....

Spider.007: waarom denk je dat de linux kernel zoveel veiliger is ?
Je code kan wel open zijn, maar als daar een bende prutsers aan gewerkt heeft, en die code wordt niet gereviewed, of tegengehouden, dan zit je toch met een slechter product....

Ik ga niet zeggen dat je de garantie hebt dat de broncode van commerciele app's geen 'gepruts' is, maar die kans is toch imo heel wat kleiner.

Waar zitten trouwens veel van de beveiligingslekken in MS producten (let op, ik zeg niet alle, maar ook in firefox zitten er bv lekken)? Bij hun serverproducten zit het 'm meestal in configuratie-instellingen, en meestal zijn dat 'out of the box' config-instellingen.
Wijzig je bepaalde instellingen, dan heb je al een veel veiliger product.

[ Voor 65% gewijzigd door whoami op 20-05-2005 10:43 ]

Ik denk dat je er nooit achter gaat komen of de een veiliger is dan de ander, gewoon vanwege het feit dat je maar van 1 kunt controleren of alle lekken er nu uitzijn (uitgaande van de mythische foutloze programmeur die dat vast kan stellen) en van de andere kan dat per definitie niet.

Open Source kan zelfs in bepaalde gevallen onveiliger zijn in mijn opinie, namelijk wanneer je een project hebt wat redelijk gebruikt wordt, maar niet zoveel. Een gebruikersgroep van misschien enkele honderden. Op die manier gaat er bijna niemand dan de maker naar de code kijken (afhankelijk van het produkt uiteraard). Als ik nu kwaad wil, download ik de source, vind een lek en exploit dat voor iemand het doorheeft.

Dit werkt natuurlijk alleen bij projecten die programmas voor relatieve noobs maken (die bekijken geen code) en redelijk onpopulair zijn. Mijn conclusie is dan ook: "Open Source kan veiliger zijn, maar voorwaarde daarvoor is dat het project erg populair is en dus veel wind (peer review) vangt"

[ Voor 20% gewijzigd door Gerco op 20-05-2005 10:47 ]

whoami schreef op vrijdag 20 mei 2005 @ 10:32:
Ik ga niet zeggen dat je de garantie hebt dat de broncode van commerciele app's geen 'gepruts' is, maar die kans is toch imo heel wat kleiner.

Dat vind ik nou precies die aanname die onbegrijpelijk is. Je hebt geen enkele aanwijzing dat de code van closed source goed is opgezet. Toch wordt daar veelal wel vanuit gegaan (we betalen ervoor, dus zal het wel goed zijn). Als ik terugkijk op mijn eigen ervaring geld dat er gewoon deadlines zijn; dan is de applicatie af, like it or not. De klant heeft het dan nodig, punt uit.

m.a.w. er is geen/amper/te weinig tijd om de code te reviewen. En als dat al wordt gedaan, hoe onpartijdig is die reviewer? De code moet immers geheim blijven..

Ik ga niet beweren dat OS pr definitie veiliger is. Maar het is wel zo dat het eenvoudiger is om te achterhalen waar de zwakheden van een bepaald OS programma liggen. De linuxkernel bevat (puur als voorbeeld) 100 mogelijke security issues. Iedereen kan hiervan op de hoogte zijn, en maatregelen nemen. Een willekeurige proprietary kernel bevat (ook weer voorbeeld) 50 bekende security issues. Echter zijn er bij de producent 150 isues bekend, alleen overige 100 maken ze niet bekend om commerciele redenen (verontruste klanten, uitblijven van orders of misschien wel omdat ze simpelweg geen oplossing weten)

Door gebruik te maken van OS-software heb je dus de kans een betere inschatting te maken van de risico's die je loopt. Door blindelings te vertrouwen op proprietary software steek je, naar mijn mening, je kop in het zand.

MrBarBarian schreef op vrijdag 20 mei 2005 @ 10:51:
[...]

Dat vind ik nou precies die aanname die onbegrijpelijk is. Je hebt geen enkele aanwijzing dat de code van closed source goed is opgezet.

Ik zeg gewoon dat de kans groter is.
Je mag er toch van uitgaan dat de programmeurs bij een serieus software bedrijf toch over enige vakkennis beschikken. Dat is toch al een drempel die je hebt. Echter, ik weet -uit ervaring- ook wel dat niet iedereen goed of even goed is. Er zitten hier en daar ook wel prutsers in.
Echter, bij OSS weet je totaal niet wat de achtergrond is van de mensen die aan het product werken.

m.a.w. er is geen/amper/te weinig tijd om de code te reviewen. En als dat al wordt gedaan, hoe onpartijdig is die reviewer? De code moet immers geheim blijven..

Bij een beetje software bedrijf wordt de code gereviewed, en dat gebeurt dan ook meestal nog door personen van binnen het bedrijf.

De garantie dat je software goed is, ga je nooit hebben, of die nu closed of open is.

whoami schreef op vrijdag 20 mei 2005 @ 10:58:

Bij een beetje software bedrijf wordt de code gereviewed, en dat gebeurt dan ook meestal nog door personen van binnen het bedrijf.

De garantie dat je software goed is, ga je nooit hebben, of die nu closed of open is.

En daarmee is die gehele review toch waardeloos? De reviewer heeft dezelfde belangen als de ontwikkelaar

Die garantie heb je inderdaad niet, dat probeerde ik al in me vorige betoog te vertellen

MrBarBarian schreef op vrijdag 20 mei 2005 @ 11:00:
[...]


En daarmee is die gehele review toch waardeloos? De reviewer heeft dezelfde belangen als de ontwikkelaar

Niet waar. Die reviewer heeft niet dezelfde belangen.

Ik kan perfect een stuk code reviewen van een collega van me. Je moet gewoon objectief blijven. Als je iets ziet dat niet kan, dan rapporteer je dat of haal je dat eruit.

Ik heb niet geheel toevallig wel eens bij een softwarebedrijf rondgekeken (niet mijn huidige werkgever overigens). Nu wil ik geenszins beweren dat dit bedrijf een maatstaf is voor de nederlandse softwareindustrie (ik hoop het niet iig), maar daar ging het ongeveer zo:

1. Deadlines zijn heilig, af of niet, releasen zullen ze.
2. Weinig tot geen peer review
3. Massale outsourcing dmv een kantoor in een lage lonen land. Daar werden tientallen nieuwe developers per maand aangenomen. Ze krijgen een korte cursus en aan de slag maar, dat levert meestal werkende, maar onwerkbare code op.

In dit geval zou Open Source het einde van het bedrijf betekenen, talloze "kostenbesparende" maatregelen gaan ten kosten van de kwaliteit en de klant weet van niets. Als dat soort dingen in meer bedrijven gebeuren kan ik me voorstellen dat open source veiliger is.

Daarentegen heb ik wel vertrouwen in de ontwikkelafdelingen van grote, bekende bedrijven als Microsoft, Oracle e.d. Die hebben echt geen domme jongens zitten en zijn ook bereid om geld aan kwaliteit te besteden. Dat kun je wel of niet met me eens zijn in het geval van MS bijvoorbeeld, maar ik vind wat ze presteren over het algemeen zeker niet slecht.

[ Voor 5% gewijzigd door Gerco op 20-05-2005 11:50 ]

whoami schreef op vrijdag 20 mei 2005 @ 11:06:
[...]

Niet waar. Die reviewer heeft niet dezelfde belangen.

Ik kan perfect een stuk code reviewen van een collega van me. Je moet gewoon objectief blijven. Als je iets ziet dat niet kan, dan rapporteer je dat of haal je dat eruit.

En ondertussen staat de directeur naar de ontwikkelaar en de reviewer te schreeuwen dat het produkt onmiddelijk de markt opmoet, omdat anders het gehele bedrijf over de kop gaat.

Dan ga jij, als reviewer, echt niet roepen dat dat niet mag, omdat de code niet voldoet. Op dat moment heb jij exact dezelfde belangen als iedereen binnen het bedrijf..

Een goede review moet gewoon gebeuren door en onafhankelijke externe partij. Code laten reviewen door een collega is, naar mijn mening, even zinvol als een ontwikkelaar zijn eigen applicatie laten testen.

MrBarBarian schreef op vrijdag 20 mei 2005 @ 11:15:
[...]

En ondertussen staat de directeur naar de ontwikkelaar en de reviewer te schreeuwen dat het produkt onmiddelijk de markt opmoet, omdat anders het gehele bedrijf over de kop gaat.

Het product kan wel op de markt komen, maar dat wil toch niet zeggen dat die review later nog kan gebeuren ?
De 'levenscyclus van een software product eindigt niet op het moment dat het opgeleverd is. Er komen updates, aanpassingen, fixes, etc...

Code laten reviewen door een collega is, naar mijn mening, even zinvol als een ontwikkelaar zijn eigen applicatie laten testen.

Dat vind ik niet. De code wordt gereviewed door een ander paar ogen, en als dat nu een collega-ontwikkelaar is of een derde partij, dat doet er niet toe.
Je vergelijking klopt ook niet, want je reviewed niet je eigen code, maar de code van iemand anders.

[ Voor 3% gewijzigd door whoami op 20-05-2005 11:20 ]

Spider.007 schreef op vrijdag 20 mei 2005 @ 11:40:
Een review vindt toch niet plaats om 'mooie' of goede code te krijgen? Een review vindt plaats om fouten mbt de applicatie op te lossen; en ik mag hopen dat een collega dat goed kan Hetzelfde geldt voor open-source; de mogelijkheid is er om alles aan te passen of te controleren; daar waar je bij closed-source maar moet hopen dat iemand anders dat voor je heeft gedaan

Het gaat niet zozeer erom of iemand het wel/niet kan, het gaat om de achtergrond van een reviewer. Belangenverstrengelingen tussen een ontwikkelaar en reviewer zijn over het algemeen dodelijk voor de review zelf. Sterker nog, je ken beter hebben dat de code door de grootste concurrent wordt gereviewt omdat je dan zeker weer dat er met de meest kritische blik wordt gekeken.

Naar mijn mening is het bij een review wel degelijk van belang dat de code ook wort gecontroleerd op kwaliteit (mooi en goed). Als een programmeur bepaalde designprincipes maar half begrijpt kan hij onbewust levensgevaarlijke security holes creeeren (ik kan nog wel een leuk voorbeeld geven van iemand die J2EE dacht te kunnen, alleen het verschil tussen starefull en stateless beans niet helemaal begreep)

Spider.007 schreef op vrijdag 20 mei 2005 @ 10:26:
Is het niet gewoon zo dat deze mensen en bedrijven ook de voordelen van open-source zien?

Projecten kunnen eenvoudig geforked worden en open-source leidt imo ook tot een hogere algehele kwaliteit van software. Deze voordelen zijn zo goed dat het als marketing gebruikt kan worden; dat is toch prachtig?

Dat forken zie ik juist als nadeel voor de beveiliging. Vanaf het moment dat een bedrijf forkt voor eigen gebruik, wordt het lastiger om bij te blijven qua patches.

Volgens mij is het enige verschil tussen open-source en closed-source de broncode; en niet de hoeveelheid programmeurs
[.....]
De Mozilla producten zijn hardstikke jong vergeleken met hun Microsoft concurrenten; maar minstens even volwassen. Het open-source model draagt hier in grote mate aan bij.

Eensch en eensch

Spider.007 schreef op vrijdag 20 mei 2005 @ 11:40:
Voor die kleine applicaties is het toch ook geen last om de applicatie open-source te maken? Wellicht profitereert de applicatie niet plots van enorme groep ontwikkelaars; maar de mogelijkheid is er in ieder geval om een applicatie te controleren op fouten; en om eventueel features toe te voegen. Natuurlijk moet open-source geen doel zijn; maar als het bied voor de eindgebruiker geen nadelen; maar wel mogelijk voordelen

Oh zeker, ik denk ook dat het opensource maken van gloednieuwe / kleine applicaties het groeien ervan veel sneller kan laten gaan. (Even zonder rekening te houden met of het voor hobby of geld op de markt wordt gezet). Maar mijn punt is dat het niet per se veiliger wordt: dat het zelfs wel eens onveiliger kan zijn wanneer er geen (juiste & gecontroleerde!) feedback op komt van de community. Het opensource zijn garandeert het open zijn van de source, niet het feedback krijgen. Wat dat betreft geldt het kwaliteitsaspect van de reviewers ook voor opensource

Een en ander hangt dan trouwens ook af van de processen rondom het bijhouden van de code. Als hier geen regie is kan het fout lopen, maar aan de andere kant zal je bij een centrale regie ook min of meer dezelfde problemen van deadlines en politiek kunnen krijgen vwb. het doorvoeren van patches. (Zeg ik zonder de processen goed te kennen).

Maar goed. Wanneer aan een paar voorwaarden zijn voldaan (namelijk: er is een actieve community en/of bij de gebruiker/het bedrijf is de kennis aanwezig om de source goed te begrijpen, en kennis, configuratie en beheer van de applicatie verschillen niet) zal ik in ieder geval opensource applicaties veiliger zien dan closed source.

Spider.007 schreef op donderdag 19 mei 2005 @ 19:27:
Met een leuke hoeveelheid vergelijkingsmateriaal wil ik een discussie starten over de toe- of afname van de veiligheid van een applicatie door het openbaar zijn van de broncode daarvan. Open-source blijft in opmars; kijk naar applicaties als Apache HTTPD, Mozilla Firefox en Mozilla Thunderbird. Zijn deze veiliger dan Microsoft IIS, Internet Explorer en Outlook door het feit dat ze open-source zijn?

Er is momenteel vergelijkings materiaal maar het blijft wel zo als je laat we zeggen Firefox wilt vergelijken met Internet Explorer dan zal je misschien zien dat er meer exploits zijn voor Internet Explorer dan voor FireFox. Dit heeft denk ik niet te maken met gesloten- of open source maar met de populariteit van een programma. Je ziet dus nu ook exploits komen voor FireFox aangezien dit langzamerhand steeds populairder wordt. Het zelfde kan gezegt worden van MS IIS en Apache HTTPD de een is meer gebruikt dan een ander. Apache heeft ook zwake punten maar MS IIS is natuurlijk weer van een bekent bedrijf.

Is het zo dat crackers de broncode van applicaties misbruiken om naar lekken te sporen zonder deze te melden aan de ontwikkelaars; of werkt 'Security through obscurity' toch best goed? Waarom besluit Microsoft om delen van de broncode van Windows te publiceren; is dat omdat ook bedrijven steeds meer voordelen in het inzicht in de broncode zien? Zouden er in een closed-source product meer bugs zitten; of hebben commerciele bedrijven meer programmeurs in huis dan er mensen vrijwillig door andermans open broncode spitten?

In mijn mening is open source veiliger; aangezien ik vooral veel PHP applicaties gebruik loop ik eigenlijk altijd snel door de broncode heen voor ik iets installeer. Een (open source) pakket als squirrelmail geeft mij dan ook meer gevoel van veiligheid dat dat ik Outlook Web Access zou installeren. Open source geeft mij het idee dat de ontwikkelaars niets te verbergen hebben en geeft mij de vrijheid om dit te controleren

Open source ben je afhankelijk van iemand die thuis als hobby een programma uit brengt en deze onderhoud. Er zijn natuurlijk projecten die wel geld achter zich hebben deze eve buiten gelaten.

Closed Source ben je afhankelijk van een bedrijf die personeel in dienst heeft en die geld achter zich heeft staan.

Het gevoel van veiligheid is natuurlijk niet echt, als je Squirrelmail gebruikt juist daar voor ben je denk ik verkeerd bezig je kan nameijk nooit weten of iets echt 100% is, bij de Outlook variant moet je wel meer moeite doen om te kijken of er iets aan de hand is.

Ik denk niet dat je er ooit uitkomt wat veiliger is en beter, beide oplossingen hebben natuurlijk ze voor- en nadelen. Voor mij zelf maakt het me niet uit of het nu open- of closed source is als een fout gevonden wordt wil ik liever gisteren als vandaag een oplossing hebben. Feit blijft wel dat een goede oplossing even op zich laat wachten.

we_are_borg schreef op vrijdag 20 mei 2005 @ 13:43:
Je ziet dus nu ook exploits komen voor FireFox aangezien dit langzamerhand steeds populairder wordt.

Het grote verschil tussen IE en Firefox is daarmee ook dat de Mozilla Foundation binnen 2 dagen nadat twee kritieke veiligheidsproblemen bekend werden, meteen een update beschikbaar had voor de gebruikers van Mozilla en Firefox.
Volgens Secunia zijn er nog een aantal unsolved vulnerabilities in IE waarvan er ééntje highly critical is (alleen extremely critical is nog erger) en nog uit augustus 2003 stamt. En dan is er nog geen patch voor beschikbaar. Dat vind ik voor een bedrijf als Microsoft een kwalijke zaak, want zo'n groot bedrijf moet dan toch zeker snel kunnen reageren als er iets mis is met IE of andere producten.

Maar of dit zo heel direct met het open source zijn van Mozilla producten te maken heeft weet ik niet zeker.

Electronical schreef op vrijdag 20 mei 2005 @ 13:53:
[...]
Het grote verschil tussen IE en Firefox is daarmee ook dat de Mozilla Foundation binnen 2 dagen nadat twee kritieke veiligheidsproblemen bekend werden, meteen een update beschikbaar had voor de gebruikers van Mozilla en Firefox.
Volgens Secunia zijn er nog een aantal unsolved vulnerabilities in IE waarvan er ééntje highly critical is (alleen extremely critical is nog erger) en nog uit augustus 2003 stamt. En dan is er nog geen patch voor beschikbaar. Dat vind ik voor een bedrijf als Microsoft een kwalijke zaak, want zo'n groot bedrijf moet dan toch zeker snel kunnen reageren als er iets mis is met IE of andere producten.

Maar of dit zo heel direct met het open source zijn van Mozilla producten te maken heeft weet ik niet zeker.

Je hebt het over deze http://secunia.com/advisories/9534/ neem ik aan. Is Highly critical maar als ik even verder zoekt op internet dan zie ik http://archives.neohapsis...closure/2003-q3/2004.html hier weer een stuk dat er een nieuwe file is maar dat de oude nooit verwijderd is. Misschien dat niemand er meer ergin heeft om dit te deleten. Ik zelf heb die file dus niet op de computer staan, misschien dat de mensen die hem wel hebben beter op moeten letten wat ze installeren.

we_are_borg schreef op vrijdag 20 mei 2005 @ 14:11:
[...]


Je hebt het over deze http://secunia.com/advisories/9534/ neem ik aan. Is Highly critical maar als ik even verder zoekt op internet dan zie ik http://archives.neohapsis...closure/2003-q3/2004.html hier weer een stuk dat er een nieuwe file is maar dat de oude nooit verwijderd is. Misschien dat niemand er meer ergin heeft om dit te deleten. Ik zelf heb die file dus niet op de computer staan, misschien dat de mensen die hem wel hebben beter op moeten letten wat ze installeren.

Ook dat natuurlijk. Er staan nog meer van die hele oude items in dat lijstje van IE, waaronder bijvoorbeeld deze, die ook al meer dan een jaar oud is.

Maar dat mensen uit moeten kijken met wat ze doen kon je in principe ook over de twee grote gaten in Firefox van een tijdje geleden zeggen. Dat was ook uitkijken met waar je naartoe gaat en zo geldt dat voor alle browsers in principe.

Wat ik duidelijk wilde maken was dat een non-profit organisatie binnen twee dagen een update klaar had staan. En dat is een goede zaak.

Spider.007 schreef op vrijdag 20 mei 2005 @ 14:23:
[...]
Lijkt me inderdaad ook niets met de veiligheid te maken te hebben; maar met de populariteit


[...]
Je stelt dus dat een open-source applicatie per definitie hobbyprojecten zijn? Ik denk dat dat niet klopt en dat er meer hobby closed-source projecten zijn dan er hobby open-source projecten zijn. Een hobby project heeft als open-source project wel voordelen dat de ontwikkeling is over te nemen indien de oorspronkelijke ontwikkelaar ermee stopt. Dit kan niet bij closed-source.

Nee er zijn open source paketten die niet door hobbyisten zijn gemaakt, evenals dat er commerciale software is die weer door hobbyisten is gemaakt. Als een closed source applicatie ermee stopt kan dit ook over genomen worden dit gaat natuurlijk niet op de source code is er natuurlijk wel, maar niet openbaar.

[...]


Dit begrijp ik even niet? Wat bedoel je precies? Ik weet dat ik met Outlook niet kan zien of het goed werkt; en met Squirrelmail wel. Wat zou jouw reden zijn om OWA te gebruiken ipv Squirrelmail?

Ik bedoel dat niet iedereen even kundig is om te beoordelen of iets 100% veilig is of niet. Ik bedoel dus te zeggen het kan open source zijn maar ik denk niet dat iemand alle kennis heeft om te kijken of het veilig is of juist niet. Het is dus een vals gevoel van veiligheid die je heb.

[...]
Maar met open-source kun jij die fout evt. zelf snel oplossen; je bent dus niet meer afhankelijk van de leverancier. Dat levert toch voldoende voordeel op? Zeker nu er steeds meer bedrijven professionele support op open-source gaan leveren (iets wat met closed-source nooit zal kunnen) levert dit voordelen op in de snelheid waarmee problemen worden opgelost

Zoals ik boven zegt niet iedereen heeft de kennis in huis om te controlleren of iets veilig is ja of nee, en daarbij ook de kennis heeft om het te herschrijven zodat het wel veilig is.

Ik denk dat het belangrijker is voor zowel closed als open source een goed systeem te hebben waar fouten en veiligheids lekken gemeld kunnen worden, ook zodat mensen kunnen zien dat er aan gewerkt wordt.

Spider.007 schreef op vrijdag 20 mei 2005 @ 10:26:
Is het niet gewoon zo dat deze mensen en bedrijven ook de voordelen van open-source zien? Projecten kunnen eenvoudig geforked worden en open-source leidt imo ook tot een hogere algehele kwaliteit van software. Deze voordelen zijn zo goed dat het als marketing gebruikt kan worden; dat is toch prachtig?

Maar hoeveel bedrijven doen dat nou? Wie schrijft er nou zijn eigen zijtak van een OS of een Office applicatie? Wie kijkt er nou uberhaupt heel de source van een programma door? Dat doen toch alleen maar de die-hard open source bedrijven? De rest zal zoiets wel laten en vertrouwen op support van de softwaremaker, open source of niet.

En ik betwijfel of dat als marketing gebruikt wordt. Ik betwijfel dat de gemiddelde manager denkt: "Hm, laten we open source software nemen, dan kunnen we zelf daar een nieuwe versie van schrijven die we vervolgens zelf moeten supporten binnen het bedrijf en waarbij alle patches van de first-party misschien wel herschreven moeten worden."
Dat zal veel mensen meer in de oren klinken als: "Open source software is nog niet volledig, daar moet je zelf nog een hoop bijschrijven."

OS is om heel andere redenen een buzzword geworden (onder development-bedrijven iig), namelijk die veronderstelde aanwezigheid van die hordes en hordes expert-programmeurs die jou wel eens even gratis gaan helpen als je een OS applicatie uitbrengt.
Daarom wordt er hier en daar overgeschakeld naar een open source model (naast het inspelen op de hype, dan). Maar het gevaar schuilt erin, dat je een soort wapenwedloop moet beginnen tegen allerlei crackers. Zij kunnen namelijk ook jouw source inzien en net zo snel werken als jijzelf.

Volgens mij is het enige verschil tussen open-source en closed-source de broncode; en niet de hoeveelheid programmeurs Volgens mij zitten er bij Redhat / Suse / HP evenveel professionele programmeurs die meewerken aan de Linux kernel (om een ander voorbeeld te noemen) als er mensen aan de Windows kernel werken

Heb je het dan over in-house programmeurs? Dat is geen argument, want dat is geen inherent voordeel van open source. Dat is gewoon een kwestie van genoeg geld hebben om genoeg talent in te huren, en dat in te kunnen zetten.