heb je als gebruiker niet de mogelijkheid om te controleren of de code security vulnerabilities bevat
Ik
denk dat dit voor ongeveer 100,0% (iets minder) van de gebruikers niet relevant is aangezien dat percentage niet daadwerkelijk de code zal doorspitten, of überhaupt de kennis in huis heeft om dit te doen.
Daarnaast kan je moeilijk controleren of de aangeboden software daadwerkelijk een compilatie is van de gepubliceerde code. Je zou uiteraard zelf kunnen compileren in plaats van de aangeboden voorgecompileerde software te gebruiken, maar gevoelsmatig zullen niet veel mensen dit doen. (misschien dat ik dit onderschat).
Maar goed. Even los van bovenstaande.
Github is primair een ontwikkelingsplatform/samenwerkingsplatform voor softwareontwikkeling. Het staat los van of je die code daadwerkelijk open publiceert (al is dat denk ik wel gebruikelijk?). Dat is aan de ontwikkelaar. De makers van dit programma hadden er ook voor kunnen kiezen om hun software op een ander platform beschikbaar te maken en (bijvoorbeeld) Github alleen 'intern' te gebruiken. Dan hadden we nooit het verschil gezien of waarschijnlijk zelfs niet eens geweten dat zij Github gebruiken.
Edit: Even ter volledigheid:
Ik vind open source als 'mechanisme' een heel goed idee. Je hebt iets gecreëerd en je geeft een stukje terug aan het publiek. Dit publiek kan dan geïnspireerd raken of geholpen worden om zelf ook mooie dingen te maken. Dit is denk ik gewoon goed. Ook kunnen mensen makkelijker (kleine) bijdrages leveren.
Als het gaat om beveiliging, denk ik dat open source als zodanig niet heel veel toevoegt. Op papier kan 'iedereen het controleren', maar in de praktijk zijn dat natuurlijk maar een relatief handje vol mensen die het 'kunnen', laat staan die het doen. Aan de andere kant van de medaille hebben we natuurlijk ook de kwaadwillenden die hiermee geholpen zijn. Zij kunnen een kwetsbaarheid vinden en die voor zichzelf houden. Het mes snijdt dus aan twee kanten.
Als we historisch kijken zien we dat er zelfs bij hele 'high level' open source projecten dat er jaren en jaren hele grote gaten aanwezig waren. (Projecten als OpenSSL). Gaten die al die tijd door 'het publiek' en zelfs 'auditors' gemist zijn. (( auditors staan natuurlijk los van open source )). Een aantal van die gaten waren al tijden bekend en misbruikt door kwaadwillenden. We zouden natuurlijk kunnen bediscussiëren dat die fouten dan misschien 'nog later' hadden gevonden en dat ze eventueel nog langer misbruikt hadden geworden, maar allicht hadden de misbruikers de fout dan zelf ook niet gevonden. Daar kunnen we denk ik in praktische zin niks over zeggen.
Dus nogmaals. Ik vind open source echt een goed idee en een mooi mechanisme, maar het hoeft van mij niet per se het doel te zijn.
[Reactie gewijzigd door lenwar op 23 juli 2024 04:04]