Opensource frameworks en hun risico's

Als het gaat om de intrinsieke veiligheid van closed-source ten opzichte van closed-source zeg ik: onzin.

Als je kijkt naar Linux vs. Windows, dan zie je dat voor de laatste meer exploits worden misbruikt en meer virussen voor bestaan dan voor Linux. Punt 2: een tijd geleden is een deel van de broncode van Windows 2000 gelekt en voor zover ik kon overzien heeft dat niet geleid tot meer onveiligheid. Hackers hebben geen broncode nodig om exploits te vinden, die zoeken gewoon naar zwakke plekken in een systeem.

Waar je wel problemen mee kan krijgen is als je framework niet up-to-date is en er een bekend lek in zit, dat is het grootste gevaar, imho.

[ Voor 12% gewijzigd door Jaap-Jan op 20-02-2009 00:32 ]

Ik denk dat er niks mis is met open source software. Als je een volwassen oss product uitzoekt zul je net zo veel/weinig gevaarlijke bugs tegenkomen als bij een betaald product. En met een door iedereen inzichtelijke bugtracker is ook niks mis. Abonneer je op de juiste RSS feeds en je blijft precies op de hoogte van de updates van de door jouw gebruikte pakketten.

Bugs in software zullen er altijd zijn. Commerciële software heeft als 'voordeel' op closed source software dat in de laatste meer sprake is van security through obscurity. En als jij open source software ombouwt tot een eigen product, dan heb je datzelfde 'voordeel' en is de stand weer gelijk.

Hackers gaan de source niet doorspitten om exploits te vinden. Ze gebruiken het framework, ontdekken de zwakheden bij het gebruik, en buiten die uit. De source is alleen interessant om dingen te fixen.

Maar als updaten een probleem is, waarom doen jullie de hosting niet zelf, of hosten jullie bij een proactieve host (zoals byte.n)? Wat je ook nog kan doen is een core framework bouwen met daaromheen losse klant instanties. Mambo heeft geloof ik zoiets.

De meeste PHP exploits zijn trouwens meestal gericht op en klare applicaties (phpBB, Mambo, Wordpress) en niet zozeer in frameworks.

En het klinkt alsof je senior programmeur er echt eentje van de hele oude stempel is

[ Voor 34% gewijzigd door BCC op 20-02-2009 00:40 ]

Verwijderd schreef op vrijdag 20 februari 2009 @ 00:33:
De source is alleen interessant om dingen te fixen.

Het is anders dé plek om te gaan zoeken naar fouten hoor
Je kunt wel in 't wilde weg gaan zitten proberen en in het donker met een hamer gaan rondslaan; dan raak je allicht iets. Maar als je iemand pijn wil doen waar 't echt pijn doet dan verdiep je je in de anatomie en raak je nét dat ene plekje waarvan niemand had gedacht dat 't zeer kon doen.

Een off-by-one fout is, met wat gericht zoeken, bijvoorbeeld zo gevonden in een lap sourcecode; dan heb je vaak ook snel en makkelijk een potentiële bufferoverloop gevonden (om maar eens wat te noemen).

De pest is: het échte venijn zit vaak in het concept; niet in de code. Zo is het hele spam-probleem (weinig met exploits te maken wellicht, maar het gaat om het idee) gewoon het gevolg van een brak concept dat in een jaartal voor Christus verzonnen is. Dan boeit wel/geen source helemaal niet meer.

Acolyte schreef op vrijdag 20 februari 2009 @ 00:18:
De gedachte is dat een open source framework makkelijker te misbruiken is omdat exploits en fouten openbaar gemaakt worden en dus door kwaadaardige personen op grote schaal kunnen worden uitgevoerd.

Het idee is eerder dat je een 'custom hack' moet toepassen op 'custom code' in plaats van zoeken naar bekende exploits. Neem je (bijv.) een PHPBB (ik noem maar wat), dan is:
a) de kans groot dat er al kant-en-klare exploits zijn (scheelt je weer zoeken als hacker )
b) de 'beloning' voor een hacker veel hoger om een exploit te vinden. Vind 1 exploit, hack duizenden sites.
c) de kans groter dat een hacker er tegen aan loopt of in geïnteresseerd raakt omdat het een veelgebruikt product is
d) etc. etc.
Natuurlijk zeg ik hiermee niet dat je daarom niet voorzichtig hoeft te werken als je een custom framework bouwt, want iemand die kwaad wil doen zal net zo goed wel een manier vinden; de kans dat je gevonden wordt door 'scriptkiddies' en 'bots' die het web afspeuren naar exploitable sites is alleen lager.

Acolyte schreef op vrijdag 20 februari 2009 @ 00:18:
Nou is het zo dat frameworks, doordat ze open source zijn, ook een grotere userbase hebben die fouten in de code kunnen verbeteren en zodoende sneller reageren dan een gesloten pakket kan bijhouden.

Niets tegen Open Source hoor; in tegendeel; maar dat hele idee van "iedereen kan er in kijken en zaken fixen" vind ik altijd veel te rooskleurig. Ja, iedereen kan er in kijken, maar tenzij je in code van OpenOffice, Firefox en dat soort zaken gaat zitten speuren is de kans groot dat enkel de originele auteurs en een handvol anderen een beetje bekend zijn met project XYZ en is er relatief gezien geen hond die een joekel van een bug ziet staan als een etterende puist. Totdat 't een keer gloeiend mis gaat. En zelfs dan nog kan het weken duren voor iemand eens een fix bedenkt. Ik ken zat OS projecten waarin sommige bugs al maanden zo niet jaren in open staan; de één kritieker dan de ander, maar toch.

Acolyte schreef op vrijdag 20 februari 2009 @ 00:18:
Kijk maar naar Linux. De updatecyclus ligt vele malen hoger dan die van Miscrosoft of Apple. Als je zou willen tenminste. Daarnaast kiezen veel bedrijven niet voor niets Linux voor hun 'mission critical' taken.

Veel updates = niet automatisch beter. Niet om nou weer een win/linux flamewar te beginnen, maar er zijn nog zat zaken te verbeteren in Linux (ja, in Windows ook, net zo goed) en toch... heel de wereld kan bij de source en het uiteindelijke product is weinig beter (of slechter) dan Windows en de ontwikkeling gaat niet (of weinig) sneller dan bij MS. Het is anders; of het beter is valt wmb onder persoonlijke voorkeur. En dat alles nog even los van of je bewering klopt, want ook die durf ik wel te betwijfelen.

Acolyte schreef op vrijdag 20 februari 2009 @ 00:18:
Zelf ben ik een vervent voorstander van frameworks, ook opensource. Misschien wel juist open source.

Goed zo. Want een framework bespaart je gewoon het wiel opnieuw uitvinden en meestal doe je dat dan ook nog slechter dan dat framework omdat er gewoon meer werk/aandacht/tijd/(specifieke)kennis in gestoken is. Maar ik ben ook een fervent tegenstander van: frameworks aan elkaar slepen = programmeren. Je moet als programmeur weten wat je wel en wat je niet kunt en waar je wel en waar je geen framework voor nodig hebt. Een complete jQuery (om maar weer eens wat te noemen) in je pagina pleuren enkel voor een 'slide effectje' is natuurlijk complete bull (tenzij je echt geen zak van JS kent ). Gebruik je echter veel van de jQuery functionaliteiten dan ben je een ei als je 't zelf gaat zitten bouwen. Zo ook bijv. met zaken als (N)Hibernate etc. Ik zie zo vaak mensen het wiel opnieuw uitvinden (en meestal nog vierkant ook ) maar het is bull om (N)Hibernate in te zetten als je maar 1 of 2 queries gebruikt en 2 entiteiten kent in je hele project .

[ Voor 90% gewijzigd door RobIII op 20-02-2009 01:05 ]

Closed vs. open source is een eeuwig welles-nietesdebat. De ene vindt dat je voor closed moet gaan, want die vindt security through obscurity wél een goed idee (not), de andere vindt open source dan weer de voorkeur krijgen.

Voordeel van gesloten broncode is inderdaad dat er minder mensen die code te zien krijgen. Minder mensen krijgen dus ook de kans om veiligheidsfouten uit die code te halen. Maar het mes snijdt langs twee kanten: diezelfde code die zo angstvallig van de buitenwereld wordt afgeschermd kan alleen intern door het ontwikkelende bedrijf worden gefikst, en je bent dus afhankelijk van hen (security advisories of niet). Als zij op de hoogte zijn van exploits maar die informatie niet aan klanten doorspelen (en laten we wel zijn, dat is schering en inslag), dan ben jij als klant de dupe. En hoe ga jij checken waar de exploits in je software zitten als je de broncode niet mag bekijken (aangezien dat volgens sommigen hier toch de aangewezen manier is)?

Met open broncode heb je dat probleem niet, daar kan je zelf de fix schrijven (als ie nog niet beschikbaar is). Het is ook een stuk moeilijker om de informatie over exploits binnenskamers te houden (tenminste, als het door een goed bedoelende bron wordt aangebracht). In mijn (bescheiden, non-professionele) mening wegen de voordelen van open broncode meer op tegen die van gesloten broncode. Lekken en fouten zijn er altijd, en argumenteren dat propriëtaire code 'veiliger' is omdat niemand ernaar kan kijken is mijns inziens een gigantische stoplap. Als dat zo geweest was had Microsoft geen patch tuesdays hoeven invoeren, dan hadden ze gewoon een nieuw OS kunnen uitbrengen om de zoveel jaar. Want niemand heeft inzage in de broncode buiten zij, dus niemand kan er gaten in vinden. En toch is de meerderheid van die irritante botnets Windows-based (al komt dat natuurlijk niet 100% door softwarefouten van Redmond, maar goed, dat is weer een ander paar mouwen). Hetzelfde geldt voor Apple, zij dienen ook veiligheidsupdates uit te brengen, terwijl hun product Unix-gebaseerd is (Darwins broncode (niet het volledige OS dus) is ook openbaar onder een BSD-licentie vziw). Mijn indruk is dat open source software betrekkelijk snel met oplossingen op de proppen komt (in de vorm van een patch bv.), al kan ik me daarin natuurlijk vergissen, en als jij harde euro's betaalt voor een strakke SLA met je (closed source?) framework, dan zal die natuurlijk een stuk sneller gefikst worden. Maar daar zit je natuurlijk met een kosten-batenanalyse die je zelf dient te voeren. OSS kost vaak een schijntje van een propriëtaire oplossing, maar de accenten liggen vaak ook anders.

RobIII schreef op vrijdag 20 februari 2009 @ 00:40:
Ik ken zat OS projecten waarin sommige bugs al maanden zo niet jaren in open staan; de één kritieker dan de ander, maar toch.

Ik denk dat je dat ook wel kan toepassen op closed source software (zelf bij grotere bedrijven). Niemand is heiliger dan de paus...

[ Voor 37% gewijzigd door Borromini op 20-02-2009 00:58 ]

Acolyte schreef op vrijdag 20 februari 2009 @ 00:18:
Kijk maar naar Linux. De updatecyclus ligt vele malen hoger dan die van Miscrosoft of Apple. Als je zou willen tenminste. Daarnaast kiezen veel bedrijven niet voor niets Linux voor hun 'mission critical' taken.

Een beetje offtopic maar dit klopt mijn inziens niet helemaal.

De updatecyclus van Microsoft ligt toch een stuk hoger dan die van de meeste stable distro's. (Apple zou ik niet weten, ik ken niemand die Apple in een prof omgeving gebruikt buiten vormgevers die er alleen Office en Photoshop op draaien)

Het verschil is dat je bij Linux ook alle testing en ontwikkel updates kunt volgen en daardoor lijkt dat de update cyclus super hoog is. Zou je echter achter de schermen bij Microsoft kunnen kijken naar al hun producten die ze hebben dan zie je dat daar minstens zoveel testing en ontwikkel updates zijn. Echter krijgt het publiek alleen de stable releases (en heel af en toe een public beta zoals bij Vista en Windows 7).

Ook geef je aan dat veel bedrijven kiezen voor Linux bij hun mission critical taken. Dit is compleet zonder enige onderbouwing, daarnaast is die vergelijking helemaal niet te maken aangezien Linux in de basis alleen een OS is waar Microsoft een heel leger aan OS'en, servers en applicaties heeft voor de verschillende mission critical taken.

Afhankelijk van je definitie van veel zijn er inderdaad wel veel bedrijven die voor Linux gaan, maar ook minstens zoveel die voor Microsoft gaan en voor zo ver ik weet ligt Microsoft op een heleboel gebieden nog ver voor op Linux. Vooral bij de grote bedrijven die al jaren geleden omgekocht zijn door Microsoft zul je toch eerder Microsoft tegenkomen dan Linux. En zoals gezegd, Linux is alleen een OS en kan dus niet eens bestaan in sommige gebieden waar Microsoft actief is.

---

Overigens eens met de meeste mensen hier: Dit is een eindeloze discussie waar geen definitief antwoord op te geven is. Bekijk jouw eigen situatie, maak je afweging en daarna een besluit. Er kiezen heel veel mensen voor closed source, daar gaan er een hoop van over de kop en een hoop ook niet. Hetzelfde voor open source, een hoop over de kop en een hoop ook niet.

Het maakt dus gemiddeld geen zak uit, maar voor jouw situatie kan het wel eens heel bepalend zijn.

[ Voor 11% gewijzigd door Verwijderd op 20-02-2009 01:00 ]

Borromini schreef op vrijdag 20 februari 2009 @ 00:50:
Ik denk dat je dat ook wel kan toepassen op closed source software (zelf bij grotere bedrijven). Niemand is heiliger dan de paus...

Nou ben ik nog zo voorzichtig geweest om in mijn post nergens een specifieke voorkeur door te laten schijnen voor kamp a of kamp b en toch pik je er nog wat uit... Het hele idee achter mijn post is, dus dat heb je juist gezien hoor, dat het geen zak uit maakt of je A of B kiest; beiden hebben hun voor-, en ja, beiden hebben ook hun en nadelen. Closed vs. Open, MS vs. Linux, je kunt bakkeleien tot je een ons weegt en de 'kampen' zullen het niet snel eens worden. Gelukkig durf ik me altijd graag in 't midden te bevinden

[ Voor 13% gewijzigd door RobIII op 20-02-2009 01:09 ]

Dit gaat ondertussen zwaar offtopic, maar goed - ik denk dat er hier een paar misverstanden rijzen die rechtzetting verdienen.

Verwijderd schreef op vrijdag 20 februari 2009 @ 00:59:De updatecyclus van Microsoft ligt toch een stuk hoger dan die van de meeste stable distro's. (Apple zou ik niet weten, ik ken niemand die Apple in een prof omgeving gebruikt buiten vormgevers die er alleen Office en Photoshop op draaien)

De meeste mainstream distro's brengen alleen security- en gewone bugfixes uit. Niet zo verschillend van het beleid van Microsoft lijkt me.

Het verschil is dat je bij Linux ook alle testing en ontwikkel updates kunt volgen en daardoor lijkt dat de update cyclus super hoog is.

In een omgeving waar prestaties (en dus uptime) belangrijk zijn lijkt het me niet dat iemand het ook maar in zijn hoofd haalt om effe een of andere SVN- of git-versie binnen te halen... Tenzij het echt niet anders kan.

Ook geef je aan dat veel bedrijven kiezen voor Linux bij hun mission critical taken. [...] daarnaast is die vergelijking helemaal niet te maken aangezien Linux in de basis alleen een OS is waar Microsoft een heel leger aan OS'en, servers en applicaties heeft voor de verschillende mission critical taken.

In essentie zijn al de 'OS'en' van Microsoft één en hetzelfde OS: een doorontwikkeling van NT (XP/Vista/Server 2008). Ik zie dus niet in waarom Microsoft 'méér' besturingssystemen in de aanbieding zou hebben dan GNU/Linux en het hele ecosysteem (want zoals je zelf ook wel best weet ging het daarover en niét over Linux als kernel/OS...). Tenzij je in hun doorzichtige marketingtrucs trapt natuurlijk .
Wat al die GNU/Linux-leveranciers (net zoals Apple en Microsoft) doen is een paar lagen wegpielen naar believen, het ding wat trimmen voor de doelgroep die ze voor ogen hebben, er een fancy naampje opplakken en het in de markt positioneren. Bij Microsoft (en waarschijnlijk ook Apple) wordt de functionaliteit van de consumentenversies tegenover de serverversies ook een stuk doeltreffender beperkt meestal dan bij de GNU/Linux-distributies, die je vaak kan upgraden naar wat je er ook maar van wil maken (en wat je veel dorpsgekken dan ook ziet doen - 'kijk ik draai Ubuntu server op m'n desktop! Kijk ik draai Kubuntu op m'n server!).

Afhankelijk van je definitie van veel zijn er inderdaad wel veel bedrijven die voor Linux gaan, maar ook minstens zoveel die voor Microsoft gaan en voor zo ver ik weet ligt Microsoft op een heleboel gebieden nog ver voor op Linux.

Met relativisme kan je elk argument ondersteunen danwel de grond inpraten. Ik denk dat je dat argument hard kan maken als het op beschikbaarheid van propriëtaire software aankomt en op desktop readiness, maar verder gaat het dan ook niet. Ik denk dat je je opnieuw vooral door marketing laat leiden. Vergeet niet dat héél wat serverparken ook op Unixes draaien die langzaam maar zeker uitgefaseerd worden voor Linux-versies. De vendor lock-in, angst van de staf (Microsoft-only), wantrouwen tegenover niet-betalende oplossingen of gebrek aan vertrouwdheid met het concept van open source, en niet de intrinsieke kwaliteiten of voordelen van een Windows-systeem zijn namelijk wat bepaalt welke producten er worden aangekocht. Zoals vaak zijn de beleidsmakers niet de meest aangewezen personen om die dingen te beslissen (maar ze doen het toch hé). Bij ons in het bedrijf zouden we ook perfect op OOo kunnen draaien, maar toch betalen we nog elk jaar vrolijk aan overbodige MS Office-upgrades. Waarom? Tsja... En dan kom je natuurlijk van die domme grappen tegen dat je van een bedrijf waar je mee samenwerkt .docx ondingen krijgt waarmee jouw Word 2003 niet overweg kan tenzij je een 'compatibiliteitspakket' binnenhengelt dat je natuurlijk niet met je beperkte gebruikersrechten kan installeren (personal gripe, moest er even uit).

RobIII schreef op vrijdag 20 februari 2009 @ 01:08:
[...]

Nou ben ik nog zo voorzichtig geweest om in mijn post nergens een specifieke voorkeur door te laten schijnen voor kamp a of kamp b en toch pik je er nog wat uit... Het hele idee achter mijn post is, dus dat heb je juist gezien hoor, dat het geen zak uit maakt of je A of B kiest; beiden hebben hun voor-, en ja, beiden hebben ook hun en nadelen. Closed vs. Open, MS vs. Linux, je kunt bakkeleien tot je een ons weegt en de 'kampen' zullen het niet snel eens worden. Gelukkig durf ik me altijd graag in 't midden te bevinden

Laten we zeggen dat je je post nogal wat gewijzigd hebt nadat ik m'n reply begon te typen, je originele post vond ik wat meer biased overkomen . Zoals ie dr nu bij staat is hij inderdaad erg netjes . Maar goed - ik ga zelf niet onder stoelen of banken steken dat ik een fan ben van OSS-oplossingen, maar uiteindelijk prevaleert the right tool for the job, en niet ideologie.

[ Voor 17% gewijzigd door Borromini op 20-02-2009 01:19 ]

Borromini schreef op vrijdag 20 februari 2009 @ 01:13:
maar uiteindelijk prevaleert the right tool for the job, en niet ideologie.

Als dat maar duidelijk is inderdaad. OSS of Closed, MS of Linux, Paint of PhotoShop, Flat file of dikke SQL cluster... the right tool for the job is méér dan alleen maar kiezen op basis van een leuk smoelwerkje of ideologie(tje ) erachter.

Borromini schreef op vrijdag 20 februari 2009 @ 01:13:
Dit gaat ondertussen zwaar offtopic, maar goed - ik denk dat er hier een paar misverstanden rijzen die rechtzetting verdienen.


[...]

De meeste mainstream distro's brengen alleen security- en gewone bugfixes uit. Niet zo verschillend van het beleid van Microsoft lijkt me.

Het gaat niet om het beleid het gaat om de frequentie. Beide brengen ze netjes patches, fixes, 'service-packs' en nieuwe distro versies uit.

[...]

In een omgeving waar prestaties (en dus uptime) belangrijk zijn lijkt het me niet dat iemand het ook maar in zijn hoofd haalt om effe een of andere SVN- of git-versie binnen te halen... Tenzij het echt niet anders kan.

Natuurlijk niet, dat zeg ik ook niet. Ik zeg alleen dat de frequentie hoger lijkt te zijn daardoor.

Daarnaast zie ik toch regelmatig testing distro's in productieomgevingen draaien hoor. Waar op zich niets mis mee is, hoeveel mensen draaien wel niet Ubuntu? Dat is gewoon een fork van Debian testing.

[...]

In essentie zijn al de 'OS'en' van Microsoft één en hetzelfde OS: een doorontwikkeling van NT (XP/Vista/Server 2008). Ik zie dus niet in waarom Microsoft 'méér' besturingssystemen in de aanbieding zou hebben dan GNU/Linux en het hele ecosysteem (want zoals je zelf ook wel best weet ging het daarover en niét over Linux als kernel/OS...). Tenzij je in hun doorzichtige marketingtrucs trapt natuurlijk .
Wat al die GNU/Linux-leveranciers (net zoals Apple en Microsoft) doen is een paar lagen wegpielen naar believen, het ding wat trimmen voor de doelgroep die ze voor ogen hebben, er een fancy naampje opplakken en het in de markt positioneren. Bij Microsoft (en waarschijnlijk ook Apple) wordt de functionaliteit van de consumentenversies tegenover de serverversies ook een stuk doeltreffender beperkt meestal dan bij de GNU/Linux-distributies, die je vaak kan upgraden naar wat je er ook maar van wil maken (en wat je veel dorpsgekken dan ook ziet doen - 'kijk ik draai Ubuntu server op m'n desktop! Kijk ik draai Kubuntu op m'n server!).

Tjah nu haal je toch wel heel wat door elkaar. Ik doelde meer op het feit dat Microsoft veel meer in z'n productenaanbod heeft dan een OS of zelfs OS'en uberhaupt. Microsoft heeft een enorm aanbod aan producten terwijl Linux niets meer of minder is dan een enkel OS.

[...]

Met relativisme kan je elk argument ondersteunen danwel de grond inpraten. Ik denk dat je dat argument hard kan maken als het op beschikbaarheid van propriëtaire software aankomt en op desktop readiness, maar verder gaat het dan ook niet. Ik denk dat je je opnieuw vooral door marketing laat leiden. Vergeet niet dat héél wat serverparken ook op Unixes draaien die langzaam maar zeker uitgefaseerd worden voor Linux-versies. De vendor lock-in, angst van de staf (Microsoft-only), wantrouwen tegenover niet-betalende oplossingen of gebrek aan vertrouwdheid met het concept van open source, en niet de intrinsieke kwaliteiten of voordelen van een Windows-systeem zijn namelijk wat bepaalt welke producten er worden aangekocht. Bij ons in het bedrijf zouden we ook perfect op OOo kunnen draaien, maar toch betalen we nog elk jaar vrolijk aan overbodige MS Office-upgrades. Waarom? Tsja...

IMHO erg kortzichtig en volledig offtopic, deze discussie kan je beter ergens anders houden. Maar niet met mij, zoals ik al aangaf zijn dit soort discussies eindeloos en ik heb niet oneindig veel tijd.

Wie het schoentje past trekke het aan..

Ik herhaal: 'Linux' is alleen een kernel. GNU/Linux is een besturingssysteem, als je 't kaal wil, en als je 't bekijkt zoals de meeste gebruikers is het ook een gigantische pool aan software (waaronder ook webservers, databases, etc., natuurlijk niet allemaal onder de GPL of GNU-licenties) die je ter beschikking hebt. Net zoals Microsoft je MS SQL kan verpatsen of je IIS aanbiedt. Dus ik zie het punt dat je wil maken niet. Ja, Microsoft biedt software aan die strikt genomen niet onder de noemer OS valt. Net zoals er gelijkaardige producten zijn die op Linux draaien. Dus wat is je punt?

[ Voor 20% gewijzigd door Borromini op 20-02-2009 01:23 ]

Je ziet echt niet dat Microsoft een enorm productaanbod heeft dat veel verder gaat dan alleen servers?

Dan is het tijd om de oogkleppen af te zetten denk ik, Microsoft is in enorm veel markten actief waaronder een hele stapel markten waar Linux simpelweg niet in kan bestaan omdat het niets met OS'en te maken heeft.

Goed; ik ga deze flamewar-in-de-dop bij deze in de kiem smoren. Ik heb géén zin in een welles/niettes of "Mijn voorkeur! Nee mijn voorkeur!" topic te moeten moederen in PRG Het internet is vergeven van die rommel en ik zie er weinig heil in hier de zoveelste discussie Linux vs. Microsoft vs. iPod vs. Pepsi te gaan voeren die toch op niets uit loopt.

Modbreak:

Ontopic A.U.B.

Dank voor uw aandacht

[ Voor 24% gewijzigd door RobIII op 20-02-2009 01:28 ]

Verwijderd schreef op vrijdag 20 februari 2009 @ 00:59:
[...]

Een beetje offtopic maar dit klopt mijn inziens niet helemaal.

De updatecyclus van Microsoft ligt toch een stuk hoger dan die van de meeste stable distro's. (Apple zou ik niet weten, ik ken niemand die Apple in een prof omgeving gebruikt buiten vormgevers die er alleen Office en Photoshop op draaien)

Major version update cyclus:
Windows: 3 jaar.
Ubuntu: 2 jaar.
Debian: 3 jaar.
Red Hat: 3 jaar.
Suse: 2 jaar.

Minor version update cyclus:
Windows: 1 keer per jaar.
Ubuntu: 2 keer per jaar.
Debian: 2 keer per jaar.
Red Hat: 1 keer per jaar.
Suse: 2 keer per jaar.

Security fixes:
Windows: 1 keer per maand, 0-day voor ernstige lekken.
Ubuntu: 0-day.
Debian: 0-day.
Red Hat: 0-day.
Suse: 0-day.

Edit: mja, ik heb hier iets te lang over gedaan geloof ik... dat heb je als je ff je claims onderzoekt.

[ Voor 6% gewijzigd door Verwijderd op 20-02-2009 01:31 ]

Acolyte schreef op vrijdag 20 februari 2009 @ 00:18:
Ik ben benieuwd hoe jullie denken over het gebruik van open source software in het algemeen en frameworks in het bijzonder voor het gebruik bij 'best wel belangrijke' dingen als online betalingen, grote corporate websites, etcetera. Wat adviseren/hanteren jullie?

De meest simpele stap die ik in dit topic nog mis is: unit testen.

Als je zeker wilt weten dat belangrijke zaken blijven werken, of dat nou na een commit is op de eigen codebase of na een update van een dependend framework, zorg je dat je goede unit testen hebt die die functionaliteiten waarborgen

Je kunt zoveel discussies met je collega;s voeren hierover als je zelf wilt: als er een groep is die niet te overtuigen is van de voordelen van je oplossing en geen 'open' benadering heeft tov de dingen die ze niet kennen is het een doodlopende weg.

Btw, die 'aanwijsbare risico's' waar je het over hebt zou je die mij ook eens kunnen aanwijzen?

@topic, je senior programmeur is zo te horen een vervent aanhanger van security through obscurity (als ze m'n code niet zien kunnen ze er ook niet achter komen dat het brak is), Not Invented Here, en een welbekend en, tenminste in mijn beperkte ervaring, typisch PHP-programmeur-syndroom, het 'ik wil alles zelf van de grond af opbouwen'-syndroom. En nee, ik ben niet goed in het bedenken van termen, .

Ik zou zeggen, bekijk eens een volwassen PHP framework als ZF en bestudeer welke componenten jullie daarvan zouden gebruiken (ZF is heel modulair, zou goed te doen moeten zijn). Ga vervolgens eens berekenen hoeveel manuren erin zouden zitten om een pakket te maken met dezelfde functionaliteit, inclusief de jarenlange uitontwikkeling, bugfixes, en ZF's hoeveelheid unit test coverage, en kijk eens hoeveel dat zou gaan kosten.

Ik denk dat je (of je collegae) nog raar zouden schrikken. Ik denk dat jullie de volgende situaties eens zouden moeten bekijken en, vooral, moeten berekenen:

* Hoeveel kans is er dat er een kritieke bug in ZF opduikt die al jullie sites plat kan leggen?
* Hoeveel zou het kosten om dat probleem te fixen? dwz nieuwe versie van ZF downloaden, jullie CMS / sites daarop aanpassen (indien nodig), en die te distribueren.
* Hoeveel zou het kosten / hoelang zou het duren om jullie eigen framework te schrijven?
* Hoe zou de kwaliteit van dat framework zijn tov bijvoorbeeld ZF?
* Hoeveel kans is er dat er een kritieke bug in dat framework optreedt, en hoeveel zou dat kosten?

Ga daar eens met je collega's op rekenen. Het ontwikkelen van een nieuw framework zal, zelfs voor een minimaal iets, maanden duren en zal een permanente hoeveelheid manuren innemen aan onderhoud en uitontwikkeling, en zelfs dan is er een grote kans dat het vele malen onveiliger is dan ZF. Het feit dat de code niet openbaar is zal alleen maar in jullie nadeel gaan werken - een kritieke fout kan jarenlang onopgemerkt blijven, zodat het bij vele klanten terecht komt voordat hij gevonden wordt door een kwaadwillend persoon en uitgebuit wordt.

ZF (wederom) heeft een nette codebase die elke dag door vele mensen nageplozen wordt, dat sowieso voor 80% (of was het meer?) gedekt is door unit tests, etc. Als die het voor jullie niet kan doen, zal een eigengemaakt framework het al helemaal niet goed doen. Concentreer liever op het eindproduct dan het onderliggende gedeelte, dat zal zoveel werk, geld en frustratie besparen dat het echt wel uit kan als er een keer een kritieke fout in ZF komt.

Bedenk ook goed dat securityproblemen niet alleen in je framework kunnen opduiken. Het kan ook in de code zitten die bovenop het framework ligt, in php (en alle modules/extensions), in de webserver, in het OS. Dikke kans dat jullie toch al een hoop third party software gebruiken en ik gok erop dat veel daarvan open source is. Al die onderdelen van een systeem hebben hun problemen en security fixes. Waarom zou je senior programmeur dan 1 component (het framework) in eigen hand houdt en de rest niet?

Verder: eens met ^^. Zend Framework maakt het ook mogelijk je bestaande code base stukje bij beetje te refactoren omdat het ontzettend modulair is. Daarnaast wordt het zeer actief onderhouden en doen ze hard hun best om alles compatible te houden met oudere releases waardoor een nieuwe release eenvoudig te implementeren is.

Het begint saai te worden maar ook hier een grote fan van Zend Framework. Wij zijn pakweg n jaar geleden overgestapt toen versie 1.5 kwam en het werkt fantastisch. Vooral de modulaire opbouw is mooi omdat je zo volledige vrijheid hebt over je code itt. bijv. CakePHP. Heb je een bug gevonden dan kun je die ene specifieke module updaten en evt. op een enkele plek je code aanpassen (tot nu toe niet nodig geweest).

Ik denk sowieso dat de meest ernstige fouten niet aan je gebruikte framework liggen maar meer aan hoe jij dat gebruikt. Denk dan aan dingen als SQL injection (Zend_Db gebruikt heerlijk PDO met prepared statements) of ongecontroleerde fileuploads en verkeerde rechten op je bestanden.