D66 wil half miljoen euro vrijmaken voor steun aan OpenSSL

De Nederlandse politieke partij D66 wil een half miljoen euro vrijmaken voor steun aan OpenSSL, de opensource-toolkit voor versleuteling van verbindingen via ssl. Dinsdag dient de partij een amendement in om het geld vrij te maken.

Het geld moet komen uit het potje voor topconsortia voor kennis en innovatie. Met het geld wil de partij de ontwikkeling van OpenSSL steunen, zo blijkt uit de toelichting van het amendement, dat nog niet online staat maar dat D66 aan Tweakers gaf ter inzage. "De indieners van het amendement willen de ontwikkeling en versterking van encryptie ondersteunen door te investeren in het OpenSSL-project, een opensource encryptiesoftware library, die voornamelijk door vrijwilligers ontwikkeld wordt."

De reden om juist OpenSSL te steunen is omdat het project volgens de partij 'van belang is voor miljoenen mensen over de hele wereld'. Kamerlid Kees Verhoeven zal dinsdag bij de behandeling van de begroting van het ministerie van Economische Zaken in de Tweede Kamer het amendement voorstellen. Het voorstel is ook bedoeld om voor het publiek duidelijk te maken dat de partij tegen het inbouwen van achterdeurtjes in software is ten behoeve van spionage. "Als een overheid pleit voor het inbouwen van achterdeurtjes in software, dan is ze verkeerd bezig. Niet alleen overheden maar ook criminelen maken misbruik van deze kwetsbaarheden", aldus Verhoeven tegen Tweakers.

Het is onbekend hoeveel steun het amendement heeft. De Kamer zal dinsdag praten en later dit jaar stemmen over de wijziging in het budget.

Door Arnoud Wokke

Redacteur

Feedback • 12-10-2015 16:5494

12-10-2015 • 16:54

94 Linkedin

Lees meer

OpenSSL verhelpt kritiek lek dat ontstond door recente patch Nieuws van 26 september 2016
OpenSSL dicht kwetsbaarheid die denial of service-aanval mogelijk maakt Nieuws van 22 september 2016
Open encryptieprojecten krijgen half miljoen euro van Nederlandse overheid Nieuws van 8 december 2015
Ernstige ssl-bug is gepatcht en richt weinig schade aan Nieuws van 9 juli 2015
Enkele OpenSSL-versies getroffen door ernstig lek - update Nieuws van 7 juli 2015
Onderzoekers vinden opnieuw problemen met ssl Nieuws van 20 mei 2015
Meer producten en artikelen
Netwerk en systeembeheer Overheid Ssl

Reacties (94)

-Moderatie-faq
94
90
74
13
2
0
Wijzig sortering
CAPSLOCK2000
12 oktober 2015 17:12
Ik vind het op zich een uitstekend idee. Ik ben dan ook helemaal voor maar ik zou willen dat ze het groter aanpakken. OpenSSL is maar 1 project en voor de staat is een half miljoen niet meer dan een fooi.
Liever zou ik zien dat er een potje komt om structureel steun te geven aan open source producten die kritiek zijn voor onze infrastructuur. Met een paar miljoen per jaar kun je veel doen in die wereld.
Een leuke bonus is dat we het werk door Nederlanders kunnen laten opknappen. Dan krijgen we nog een deel terug via de belasting in plaats van dat een Amerikaans softwarehuis het in z'n zak steekt.

Maar goed, wie het kleine niet eert.... mooi voorstel dus, snel uitvoeren.
Blokker_1999
@CAPSLOCK200012 oktober 2015 18:00
We zullen dit aanzien als een begin, en eerst nagaan of het amendement goedgekeurd geraakt. Dan kan men volgend jaar proberen om het bedrag op te trekken.
WhatsappHack
@Blokker_199912 oktober 2015 18:38
Ik hoop eerlijk gezegd dat het amendement niet wordt goedgekeurd zonder nuance en een beter doordacht plan. Zomaar 500K doneren aan een random project is ondoordacht en relatief vreemd... Maak dan gewoon een goed plan voor constructieve en repeterende donaties aan verschillende projecten. En dan het liefst ook een maandelijkse bijdrage. Zul je zien, stort je 500K in de kas van open source project X, stoppen ze er 2 weken later mee. Dat soort fratsen.

Laat ze het eerst maar eens goed uitdenken, meerdere vitale projecten steunen: en een goed plan daarvoor opzetten. Dan heb je ook meer garanties dat je geld goed gebruikt wordt, je spreid je kansen, je geeft meerdere belangrijke projecten een kans om te overleven: en je hebt een werkelijk goed uitgevoerd plan. ;)
Lord Anubis
@WhatsappHack12 oktober 2015 19:07
In het algemeen zou ik je gelijk geven, maar zoals je het nu brengt is het behoorlijk vaag en cru. Denk dat ze dat, het uitzoeken, wel gedaan hebben, en het bedrag is schappelijk, zou het wel in fasen uitkeren. Denk ook dat OpenSSL wel even blijft bestaan. Meerdere projecten of het bedrag in meerdere projecten verdelen is dan vijf druppels op een gloeiende plaat. Heeft niemand wat aan. Kosten in OpenSource projecten kunnen best oplopen. Spreiden van kansen is leuk in het algemeen, maar hier was een doel voor ogen.
WhatsappHack
@Lord Anubis12 oktober 2015 19:12
Met 100K kan een gemiddeld open-source project heel erg veel goede dingen doen.
Als je dus 5x 100K, of 10x 50K, doneert aan meerdere vitale en opkomende projecten voor sterke encryptie en een veiliger internet algemeen, vind ik dat je beter bezig bent voor de veiligheid dan opeens 1 groot bedrag te dumpen bij 1 partij.

Meerdere projecten 500K geven vind ik ook prima, maar ik denk dat het voor een aantal projecten een beetje overkill is. Internet veiligheid is van cruciaal belang, en helaas consistent zwaar onderschat en te weinig gestimuleerd door de overheid.
Het meeste wat ik ze de heb zien doen in de afgelopen jaren om awareness te creeeren is die reclame met wat mensen met een hengeltje op het dak om mensen op de een of andere manier te overtuigen van phising.

Maar gewoon betere IT voorzieningen en betere voorlichting op scholen, of korte cursussen voor oudere mensen en a-technische lui? Dat zie je niet.
En juist dat is van heel erg groot belang... Immers is voorkomen beter dan genezen.
(Dat houdt niet in dat er niet geinvesteerd moet worden in belangrijke projecten als OpenSSL, maar zelfs de beste encryptie gaat je niet redden als de gebruiker gewoon eh... Idioot omgaat met zijn/haar apparaat.)
Tourmaline
@WhatsappHack12 oktober 2015 20:15
Ze kunnen ook eens nadenken over de fundamenten van het web en die structureel veiliger maken, heb je ook geen dure losse encryptie nodig. Of nog beter, bouw het structureel in waar het nodig is en maak toegankelijkheid voor derden(lees NSA e.d.) minder gemakkelijk. Encryptie is daar maar een klein onderdeel in.

[Reactie gewijzigd door Tourmaline op 12 oktober 2015 20:17]

Lord Anubis
@WhatsappHack12 oktober 2015 19:35
Weer met je eens, maar het ging hier om 1 project en je reactie over hoop dat het afgewezen wordt. Het is een start vanuit de regering en dat vind ik goed.
Betere IT voorzieningen en betere voorlichting? Zou het helpen? Hangt toch erg van het individu af. Ik ken een huppeltrut, is o.a Syst Architect, met meer IT verantwoording dan mij ( ben Coordinator en manager van een IT afdeling ) die vorige week via een open deur €1300 kwijt was door een stommiteit die menig oudje noway zou maken.
Mensen iets bijbrengen zijn projecten van het 20 voudige.

Betere IT opleidingen op scholen en voorlichting zijn andere projecten en zouden parallel met deze actie's moeten lopen.
aadv
@Lord Anubis13 oktober 2015 09:55
Als je dan toch zonodig moet verwijzen naar jouw functie, dan wil ik jou erop wijzen dat je Nederlands niet foutloos is.

Het is: Meer verantwoording dan ik.
Ook het gebruik van de komma zou beter kunnen.

Meer verantwoording dan mij is taal van Kluk Kluk.
Ik schrijf dit omdat mensen nu eenmaal fouten maken. Als mijn leidinggevende dit zo naar buiten zou brengen, dan had ik daar zeer de treiter over in.
Lord Anubis
@aadv13 oktober 2015 15:21
Klopt, de bedoeling was zoiets van, " dan ik met mijn functie...'
Had gewoon wat haast. Veranderde een andere typo waardoor een nieuwe ontstond. En er zullen nog vele vouten volgen. Dus hou je paraat. :P
teacup
@Lord Anubis12 oktober 2015 20:38
Denk dat ze dat, het uitzoeken, wel gedaan hebben.
Dit is dus precies wat we nu niet kunnen vaststellen. En ik stel mijzelf de vraag of een gedetailleerd plan voorwaardelijk is voor de aanname van dit amendement. Zo groot is de diepgang van politiek Nederland m.b.t. IT vraagstukken niet. De omschrijving van de doelstelling alleen al (al gezegd in eerdere post) is ruim omschreven.

Om eerlijk te zijn heb ik mezelf betrapt op de gedachte of het hier meer gaat over een politiek statement dan een inhoudelijk voorstel. Al is het dan wel een statement met een prijskaartje.
johnkeates
@CAPSLOCK200013 oktober 2015 03:46
Ik denk dat met die 500k heel wat hardware, uplinks en stroom gekocht/gehuurd kan worden. Als het meezit gaat er nog wat naar de developers, maar gezien het toch FOSS is, is de kans groot dat alles naar het project gaat. Bijna niemand binnen zo'n project gaat proberen geld te verdienen met het project zelf. Je hebt natuurlijk hele grote jongens zoals Debian die een stichting en board hebben en daar developers in dienst kan nemen of kan betalen voor hun bijdrage, maar behalve de core developers gaat het meeste geld toch al zitten in de infrastructuur.

Voor OpenSSL kan ik me voorstellen dat dat geld prima naar een externe audit kan gaan, misschien naar meer of betere hardware, of naar core developers zodat ze meer tijd in het project kunnen steken en minder in hun werk, en bijvoorbeeld een of twee dagen minder in de week kunnen werken en de tijd spenderen aan programmeren voor OpenSSL.

Zonder die 500k zou het project natuurlijk gewoon lekker door gaan zoals het al gaat, er zijn ook al zat commerciële patches aangeleverd die gecontroleerd en geaccepteerd zijn, en ook universitaire merges zijn er zat.
field33P
@CAPSLOCK200013 oktober 2015 09:31
"en voor de staat is een half miljoen niet meer dan een fooi"
En een hoop halve miljoenen aan 'fooien' kunnen alsnog groot uitvallen, waarna de belastingen weer lekker omhoog kunnen 8)7
CAPSLOCK2000
@field33P13 oktober 2015 09:36
Als het goed is niet. Het is de bedoeling dat er op lange termijn winst wordt gemaakt met deze investering. Dat is dan geen winst die direct in geld wordt uitgekeerd maar het gaat om winst in veiligheid. Net zoals de overheid helpt om je huis inbraakveilig te maken. Dat soort veiligheid is belangrijk om lekker te kunnen handelen en daar verdient Nederland z'n brood mee.
johnkeates
12 oktober 2015 18:56
Kunnen ze dat niet beter in PolarSSL stoppen en in forks en patches voor projecten die nog niet met PolarSSL werken? Of anders in LibreSSL?
SlaSauS
@johnkeates12 oktober 2015 19:56
Mij persoonlijk lijkt het geld me security-wise ook beter besteed aan de OpenBSD Foundation. Dat zou de overheid gelijk de eerste Iridium sponsor maken[1]. Naast dat het geld dan in LibreSSL terecht komt, komt het bijv. ook OpenSSH ten goede.

Als je kijkt naar het track record van LibreSSL dan zie je dat men zelfs nu na een jaar al bijna de helft minder bugs heeft moeten fixen vergeleken met OpenSSL[2]. Puur en alleen door het verwijderen van obscure functionaliteit en het leesbaarder maken van de code[3].

/edit
@johnkeates hieronder:
Er zijn veel systemen die alleen met OpenSSL werken en alleen met een specifieke versie gelinkt is. Tenzij de projecten dan gepatcht worden kan je opeens niet zonder OpenSSL as-is.
Het feit dat er een enorm eco-systeem van software is die leunt op de API van OpenSSL is precies de reden waarom OpenBSD OpenSSL heeft geforked en niet met een schone lei is begonnen. Een van de doelen is namelijk dat LibreSSL een drop-in replacement is voor software die nu OpenSSL gebruikt ([3]).

Los daarvan is men binnen LibreSSL bezig om een nieuwe API beschikbaar te maken genaamd libtls die veel cleaner, stricter en makkelijker in gebruik moet zijn. Makkelijk als in, moeilijker om hem verkeerd te gebruiken en jezelf in de voet te schieten[4].

/edit2
Relevante anekdote die ik net lees[5] die het mentaliteitsverschil tussen beide projecten mooi illustreert: OpenSSL is er net achtergekomen dat er een syntax error zit in een optioneel stuk code wat sinds de eerste commit 11 jaar geleden blijkbaar nog nooit gecompiled is. Reactie van OpenSSL is om de bug te fixen. Reactie van LibreSSL was al een tijd terug om deze obscure en niet goed geteste code simpelweg te verwijderen.

@worldcitizen hieronder:
1) LibreSSL heeft code eruit gesloopt die de library niet meer compatibele maakt.
Klopt, niet 100% compatible. Gebruikers van OpenSSL i.c.m. MS-DOS, Mac OS 9 (1999), Win16 of VMS kunnen geen gebruik maken van LibreSSL[6]. Verder kunnen alle huidige grote software projecten het wel ([3]).
2) Het overgrote deel van de wereld gebruikt nog steeds openSSL waardoor bugs in openSSL veel sneller gevonden zullen worden.
Dat klinkt leuk, alleen leert de praktijk wat anders. Het feit dat allerlei bugreports unresolved al jaren in de bugtracker van OpenSSL hingen was een van de redenen om te forken. Een van de redenen waarom er zo weinig mensen door de code van OpenSSL heen gingen was omdat het een organisch gegroeide en feature-van-de-hoogste-bieder gedreven warboel was [7].

[1] http://www.openbsdfoundation.org/contributors.html
[2] http://www.openbsd.org/papers/libtls-fsec-2015/mgp00005.html
[3] http://www.openbsd.org/papers/libtls-fsec-2015/mgp00004.html
[4] http://www.openbsd.org/cg...ent/man3/tls_accept_fds.3
[5] http://marc.info/?l=openb...ech&m=144472550016118&w=2
[6] http://www.openbsd.org/pa...14-libressl/mgp00013.html
[7] http://www.openbsd.org/pa...14-libressl/mgp00008.html

[Reactie gewijzigd door SlaSauS op 13 oktober 2015 14:03]

Anoniem: 112442
@SlaSauS13 oktober 2015 09:25
Mij persoonlijk lijkt het geld me security-wise ook beter besteed aan de OpenBSD Foundation. Dat zou de overheid gelijk de eerste Iridium sponsor maken[1]. Naast dat het geld dan in LibreSSL terecht komt, komt het bijv. ook OpenSSH ten goede.

Als je kijkt naar het track record van LibreSSL dan zie je dat men zelfs nu na een jaar al bijna de helft minder bugs heeft moeten fixen vergeleken met OpenSSL[2]. Puur en alleen door het verwijderen van obscure functionaliteit en het leesbaarder maken van de code[3].

/edit
@johnkeates hieronder:

[...]


Het feit dat er een enorm eco-systeem van software is die leunt op de API van OpenSSL is precies de reden waarom OpenBSD OpenSSL heeft geforked en niet met een schone lei is begonnen. Een van de doelen is namelijk dat LibreSSL een drop-in replacement is voor software die nu OpenSSL gebruikt ([3]).

Los daarvan is men binnen LibreSSL bezig om een nieuwe API beschikbaar te maken genaamd libtls die veel cleaner, stricter en makkelijker in gebruik moet zijn. Makkelijk als in, moeilijker om hem verkeerd te gebruiken en jezelf in de voet te schieten[4].

[1] http://www.openbsdfoundation.org/contributors.html
[2] http://www.openbsd.org/papers/libtls-fsec-2015/mgp00005.html
[3] http://www.openbsd.org/papers/libtls-fsec-2015/mgp00004.html
[4] http://www.openbsd.org/cg...ent/man3/tls_accept_fds.3
Het lijkt me verkeerd om geld in openBSD te stoppen als je doel *SSL is, ze kunnen eht geld dan zaken besteden die ze belangrijk vinden.
IMO is er niets mis mee om geld in openSSL te stoppen. Dan blijf je een 100% compatibele library houden, LibreSSL is dat niet.

De bugs vergelijking tussen LibreSSL en openSSL is niet eerlijk.
1) LibreSSL heeft code eruit gesloopt die de library niet meer compatibele maakt.
2) Het overgrote deel van de wereld gebruikt nog steeds openSSL waardoor bugs in openSSL veel sneller gevonden zullen worden.

Ik ben zelf veel meer voor een onafhankelijke library in dit geval i.p.v. een library die aan een distro of OS hangt.
Joep Lunaar
@Anoniem: 11244213 oktober 2015 15:09
Distro's kiezen de programmatuur die ze in een distributie opnemen; het zijn "systeem-integratoren". LibreSSL is een drop-in voor OpenSSL en de meeste programma's kunnen prima daarmee overweg (eventueel na hercompilatie indien statisch gelinkt).

Curieus is dat Apple in Mac OS X 10.11 voor in ssh (OpenSSH) de openssl van LibreSSL heeft gelinkt, maar voor de commandline utility "openssl" de imlementatie van OpenSSL gebruikt.

Persoonlijk denk ik dat een ondersteuning van OpenSSL dan wel LibreSSL allebij gepast is. OpenSSL omdat toch velen daarvan afhankelijk blijven, LibreSSL omdat die openssl opschudden en bij de tijd brengen. Theo de Raadt mag dan een bijzonder lastig heerschap zijn, van goede en schone code heeft hij zekers kaas gegeten en daarbij zijn wij allen gebaat, ook OpenSSL (via back-ports en cherry picking).
johnkeates
@SlaSauS12 oktober 2015 20:11
Precies! Het enige waar OpenSSL sterk in is, is legacy. Er zijn veel systemen die alleen met OpenSSL werken en alleen met een specifieke versie gelinkt is. Tenzij de projecten dan gepatcht worden kan je opeens niet zonder OpenSSL as-is.

Een ding wat ook kan, zoals Apple bijv. doet, is een crypto wrapper in het basisframework stoppen die onder water dan ook OpenSSL zou kunnen gebruiken, maar bij upgrades of switches naar andere frameworks geen problemen veroorzaakt voor software die op de frameworks gebouwd is. Op dat moment kan je OpenSSL weg doen en PolarSSL of LibreSSL gebruiken zonder dat de software die aan 'de andere kant' van het framework zit er last van heeft.

[Reactie gewijzigd door johnkeates op 12 oktober 2015 20:15]

mhkool
@SlaSauS13 oktober 2015 00:57
+3 100% juist.

Maar vergeet niet dat we nu ook al OpenVPN-NL hebben die met PolarSSL werkt.

[Reactie gewijzigd door mhkool op 13 oktober 2015 00:58]

Wim-Bart
@johnkeates13 oktober 2015 03:10
Moet een politieke partij zich überhaupt bemoeien met software ontwikkeling. Politieke partijen moeten boven de markt staan en geen waarde oordeel geven over producten en diensten, wat ze hier nu wel mee doen.

Daarnaast is het zeer vreemd om te beseffen dat een overheid straks min of meer een vinger in de pap heeft bij iets wat de burger onder andere tegen deze overheid moet beschermen.

Daarnaast is het subsidiëren een slecht idee, laat de markt zelf bepalen, wie weet wordt er nu door deze mogelijke investering een product gemaakt wat voorsprong heeft qua ontwikkeling maar waardoor andere, misschien betere alternatieven nu niet meer van de grond komen, of gewoon weggedrukt worden.

[Reactie gewijzigd door Wim-Bart op 13 oktober 2015 03:17]

johnkeates
@Wim-Bart13 oktober 2015 03:42
Je haalt nu drie dingen aan die hier nu juist niet van toepassing zijn:

1. Dit is geen bemoeienis, maar een donatie. De enige mensen die bepalen wat er op software niveau gebeurt zijn de mensen die het project draaien. Daarnaast kan op elk gewenst moment een specifieke versie van de software van 'voor' de donatie gebruikt worden, en is het niet zomaar mogelijk om zonder controle als 'donateur' wat te veranderen. Op z'n best kan je een bestemming aanduiden zoals een audit of een backlog check.

2. Dit is niet markt-gebonden of een 'product', net als dat het geen dienst is of waarde oordeel krijgt door een donatie. Wat hier in principe gebeurt is het beste wat je kan krijgen qua software voor je belastinggeld: programmeurs bepalen wat er gebeurt, het is wetenschappelijk en meetbaar, en 100% van de investering resulteert in software die voor iedereen beschikbaar is. Wat 'de overheid' in dit geval doet (het is helemaal niet 'de overheid', maar een partij, die toevallig ook in de overheid meedoet) is geld steken in ontwikkeling. En in plaats van dat dat dan achter gesloten deuren plaatsvindt of beperkt beschikbaar is, of een beperkt publiek bedient is het compleet open en is het een voordeel voor iedereen die van internet gebruik maakt, en dat zijn nogal wat mensen. Daarnaast is het niet zo dat OpenSSL nu opeens 'overheidssteun' heeft, als er iets is wat dat op het moment heeft dat in hetzelfde straatje ligt, dan is dat PolarSSL en de NL-fork van OpenVPN.

3. Andere projecten krijgen hier 'last' van? Nee dus. Andere projecten vermaken zich prima, het is niet alsof er een 'bedrijf' is dat OpenSSL heet, het zijn vrijwilligers en er wordt bijgedragen door commerciële bedrijven. LibreSSL, PolarSSL en andere SSL libraries gaan hier echt niet van achteruit, en het is niet alsof de vrijwilligers die aan SSL libraries programmeren naar een project gaan waar geld voor gedoneerd wordt. In nagenoeg alle gevallen wordt het vanuit een idealistisch oogpunt gedaan door mensen die het sowieso al zouden gaan doen en zich alleen nog maar bij gelijkdenkenden aansluiten. Er zijn buiten de Microsoft-, Google-, en Apple-wereld diverse Unices, Linuxen en BSD's die 100% op vrijwilligers draaien, allemaal lekker code met elkaar delen, alles vrij beschikbaar stellen en niet op geld draaien maar op wil en kennis. Als OpenSSL geld gekost had en dat geld naar de ontwikkelaars was gegaan waren die nu allemaal multimiljardairs. Natuurlijk is het handig om geld te hebben, maar dat is nou eenmaal niet waar ze het voor doen.

Ik krijg van je post een beetje de indruk dat je weinig bekend bent met open source software en vrije software, en dat je de ethiek en drijfveren van FOSS ontwikkelaars niet doorziet. In nagenoeg alle gevallen van FOSS willen de ontwikkelaars eigenlijk helemaal niks te maken hebben met geld, commercie of overheden. Sure, hardware kost geld en je moet ergens wonen en wat eten, dus geld moet er zijn, maar dat komt meestal van baantjes buiten de FOSS wereld. Over het algemeen is het enige waar je in die wereld voor kan betalen commerciële support (of enterprise support), en je kan geld stoppen in projecten in de vorm van donaties, net als dat je serverhardware en bandbreedte kan doneren. Iedereen binnen die wereld weet dat iedereen er bij gebaat is, ook als ze de software zelf niet eens direct zouden gebruiken.
halfgaar
12 oktober 2015 17:02
En over x tijd gebruikt de wereld LibreSSL en hebben we er niets mee aan :)? Ik denk wel dat even gekeken moet worden waar het geld voor gebruikt moet worden. Als er dingen gedaan worden die LibreSSL ook al doet, lijkt me het overbodig dubbel werk. Nou weet ik dat LibreSSL en OpenSSL onverenigbare opvattingen hebben, maar er zal toch overlap zijn in activiteiten/audits.
HollowGamer
@halfgaar12 oktober 2015 17:13
Er zijn op dit moment meerdere forks van OpenSSL actief.

Mooi dat 'de overheid' geld wilt geven aan devs van OpenSSL., maar gaat de overheid nu ook geld geven aan de ontwikkelaars van Apache, Nginx, Linux(-kernel), OpenSSH, PHP, Python, MySQL, MariaDB, Ruby, .. moet ik nog even doorgaan? :P

Die projecten zijn net als OpenSSL 'van belang voor miljoenen mensen over de hele wereld'.
ICT en de overheid gaan gewoon niet samen, hier ook weer. Het wordt tijd voor een post bij de overheid die iets afweten van IT, i.p.v. een minister die de klok heeft horen luiden maar weet niet waar de klepel hangt.

De overheid dient zich juist sterk te maken voor banen in deze sector, en dus niet alleen 'zomaar' wat geld te geven en hopen for the best. Dit geeft maar weer eens aan hoe kortzichtig te overheid werkt, geef geld aan organisaties en het komt allemaal goed. Vrijwilligers zijn er genoeg (opzicht), betaalde helaas niet. De meeste mensen steken (onbetaald) enorm veel tijd/werk na hun werk in open-source projecten. :/

Het zou bijvoorbeeld fantastisch zijn als de overheid bijdraagt aan de projecten door mensen in te huren die betaald meewerken aan open-source projecten en tevens intern zouden kunnen worden opgeleid/bijgespijkerd (waardoor we ook meedoen aan de Europese Top op IT-gebied). Helaas is dit door een aantal partijen onmogelijk gemaakt, die willen liever alles afstoten en privatiseren.

[Reactie gewijzigd door HollowGamer op 12 oktober 2015 17:32]

elmuerte
@HollowGamer12 oktober 2015 18:48
> Apache, Nginx, OpenSSH, PHP, Python, MySQL, MariaDB,

Grappig genoeg hebben al die projecten een dependency op OpenSSL.
Anoniem: 26306
@elmuerte12 oktober 2015 23:54
Nee hoor. Ze hebben ondersteuning voor OpenSSL. Het is prima mogelijk om elk van deze stukken software zonder OpenSSL te gebruiken.
elmuerte
@Anoniem: 2630613 oktober 2015 07:47
Geen heeft officiele bindings met GnuTLS of een andere OSS TLS implementatie. Dus zonder OpenSSL is het gwoon geen-SSL. Dat lijkt me niet veel beter. (muv openSSH, zonder OpenSSL heb je ook geen SSH1 meer, en dat is echt niet erg).
enver63
@HollowGamer12 oktober 2015 18:28
Als de overheid "zomaar" wat geld wil uitgeven aan IT, is het waarschijnlijk nuttiger om dat aan openssl te besteden dat aan capgemini. En als je kjikt naar de bedragen waarom het gaat is de subsidie voor openssl een fractie van wat de overheid in bodemloze IT-putten stort.

Edit: dat nieuwe ios9 toetsenbord mist af en toe een paar letters.

[Reactie gewijzigd door enver63 op 13 oktober 2015 08:02]

SED
@HollowGamer12 oktober 2015 18:53
Geld geven aan essentiële onderdelen van het open source ecosysteem is een prima wijze om knelpunten aan te apkken en het project naar een hoger plan te tillen.
Weliswaar gebruiken heel veel bedrijven onderdelen maar teruggeven van code is wat anders dan een project finacieel steunen. Je zou grote spelers die openssl gebruiken als basis gerust een bijdrage mogen vragen. maar wie neemt het initiatief?
Dus een overheidsbijdrage voor kortere tijd is een prima opzet.

Stimuleren van een noodlijdende bedrijfstak zoals de open source wereld nu veelal is, gebaseerd op hobbyisme, vrijwilligers en heel veel goede wil is dus wel degelijk een prima plan.

Alleen al een opzet om te komen tot een code audit van veel van het type oplossingen zoals Openssl zou een stevige steun betekenen en een gemakkelijker implementatie en acceptatie. Open source alleen is geen securitymodel!

Eigenlijk doe je zelf ook een voorzet voor steun alleen onder voorwaarden en dat is prima. Als die voorwaarde is het uit de markt drukken van bedrijven die closed source verkopen dan is het een kortzichtig plan.
ICT en de overheid gaan gewoon niet samen, hier ook weer.
Waarom je dit soort initiatieven weer als potentieel mislukt ziet of weet te koppelen aan het klok/klepel verhaal is erg gezocht.
morrowyn
@HollowGamer12 oktober 2015 20:00
Denk dat als jij via digid je zaken met de overheid wilt regelen je ervan uit moet kunnen gaan dat jouw transactie met de overheid een prive kwestie is en daar draagt een dergelijke openssl library zonder heartbleed capriolen ook bij.

Hetzelfde geldt natuurlijk ook voor als de overheid zaken doet met andere partijen.

Zo'n grap als diginotar kunnen ze echt niet nog een keer gebruiken.
sjongenelen
@HollowGamer12 oktober 2015 17:39
Als de implementatie idd het belonen van Nederlandse medewerkers aan openssl is, dan is prima. Het doneren van een zak geld lijkt mij idd ook niet de juiste manier
Blokker_1999
@halfgaar12 oktober 2015 17:59
Zo wat alle besturingssystemen en projecten die gebruik maakten van OpenSSL voor dat de bugs bekend werden doen dat vandaag nog altijd. OpenSSL is nog altijd de referentie implementatie. En ja, er zit overlap in, maar dat heb je in zoveel projecten. Bij een fork zal ook altijd nog geprobeerd worden om code heen en weer te porten.

En waar moet je voor kiezen? Dat is moeiljk na te gaan. Wie zegt dat LibreSSL geen nieuwe bugs met zich meebrengt?
SlaSauS
@Blokker_199912 oktober 2015 19:16
Wie zegt dat LibreSSL geen nieuwe bugs met zich meebrengt?
Absoluut waar, echter heeft LibreSSL ook meer een focus op het strippen van gevaarlijke functionaliteit en functionaliteit die slechts door een kleine minderheid gebruikt wordt[1][2]. Dit heeft er al voor gezorgd dat OpenSSL sinds de fork meer bugs heeft moeten patchen dan LibreSSL[3]. Verder wil men dat de code strakker wordt en beter leesbaar zodat ook daadwerkelijk meer ogen over de code gaan.

[1] http://www.openbsd.org/papers/libtls-fsec-2015/mgp00003.html
[2] http://www.openbsd.org/papers/libtls-fsec-2015/mgp00004.html
[3] http://www.openbsd.org/papers/libtls-fsec-2015/mgp00005.html
kramer65
@halfgaar12 oktober 2015 17:15
Als er dingen gedaan worden die LibreSSL ook al doet, lijkt me het overbodig dubbel werk.
Net zoals alle linux distributies beter samengevoegd kunnen worden omdat het allemaal dubbel werk is?

Alhoewel ik het eens ben met het feit dat je het bedrag misschien ook op kan splitten voor open- en libre-ssl, heeft fragmentatie in open source software toch wel bewezen goede kanten te hebben. Als meerdere projecten (min of meer) hetzelfde doel nastreven en ze alle aanpassingen van elkaar over kunnen nemen (want open source) dan zal dat beide projecten goed doen. Als er lekken gevonden worden in de ene lib worden die ook gepatched in de andere en vice versa.

Zo zijn er vele desktop environments in Linux-land, en iedereen "jat" alles wat los en vast zit van elkaar (ideeën/code/ontwerp) en zo worden alle DEs beter. En zo ook met ssl-libs.
bantoo
12 oktober 2015 17:19
Dit lijkt me een vrij grove verspilling van overheidsgeld.
Ik bedoel, https://tls.mbed.org/ dit hernoemde PolarSSL product lijkt veel meer met de overheid te maken te hebben. OpenSSL heeft niets direct met Nederland te maken dus dit is simpelweg ontwikkelingshulp. Of willen ze voor 500K aan Nederlandse ontwikkelaars voor de overheid laten werken om OpenSSL te verbeteren?
Blokker_1999
@bantoo12 oktober 2015 18:10
Ik zie niet in hoe een SSL implementatie van een commerciële partij (ARM is nog altijd een bedrijf) meer met een voerheid te maken heeft of hoe dat dit meer met NL te maken heeft.
gertvdijk
@Blokker_199912 oktober 2015 19:35
Ik zie niet in hoe een SSL implementatie van een commerciële partij (ARM is nog altijd een bedrijf) meer met een voerheid te maken heeft of hoe dat dit meer met NL te maken heeft.
De Nederlandse overheid koos PolarSSL als onderdeel voor zijn opensource OpenVPN-NL-project.
Het OpenVPN-NL project is gefinancierd met primair als doelstelling om het gebruik van de TLS library modulair te maken in OpenVPN en daarbij met PolarSSL een inzetadvies te kunnen geven.

Met andere woorden; er is eerder geld uitgegeven (en dat is nog steeds een actief project) aan het vervangen van OpenSSL ten gunste van PolarSSL/mBedTLS in een project voor de Nederlandse overheid.

Dat maakt de besteding van het overheidsgeld naar mijn mening niet minder nuttig, maar opmerkelijk is het wel.

[Reactie gewijzigd door gertvdijk op 12 oktober 2015 19:37]

Faeron
@bantoo12 oktober 2015 19:10
Dit dus. Geld is geen garantie voor goede code. Een half miljoen van ons belastinggeld geven aan een organisatie die jaren lang de tijd heeft gehad om een goed product te bouwen, maar daar in mijn ogen niet in geslaagd is, is pure verspilling. Zeker omdat er al alternatieven zijn, dus het is ook nog eens overbodig. Dit toont wederom aan dat de overheid geen flauw benul heeft van ICT.
84hannes
@Faeron12 oktober 2015 20:15
Dit toont wederom aan dat de overheid geen flauw benul heeft van ICT
De overheid bestaat net zo min als het volk. In tijden waarin het volk oorlogsvluctelingen in Utrecht lastig valt wil ik er geen onderdeel van zijn. Als jij stelt dat er individuen zijn die onderdeel uit maken van de overheid, die geen verstand hebben van ICT, dan kan ik je moeilijk ongelijk geven. En geld is ook geen garantie voor slechte code. Maar niet alle goede wiskundigen en andere informatici werken vrijwillig voor een organisatie die de wereld beter wil maken: veel van hen werken voor geld. Dus als je goede open alternatieven wilt dan moet er hier of daar in de buidel worden getast. Dat doen bedrijven, maar ik denk dat het een goed idee is dat de overheid het ook doet. Verder is OpenSSL niet zo slecht als hier gesuggereerd wordt, de wereld is een stuk veiliger mèt OpenSSL dan zonder, maar zoals ik het begrepen heb is mbed TLS inderdaad een stuk toekomstbestendiger, dus het zou fijn zijn als iemand (jij?) copntact opneemt met de overheid om ze over dit alternatief te informeren. Want ik ben bang dat Kees Verhoeven dit forum niet naspit om zijn standpunt te valideren.
Faeron
@84hannes13 oktober 2015 16:34
Had ik allang gedaan. Zijn reactie is dat hij ermee aan de slag gaat. We zullen zien...
enver63
@Faeron13 oktober 2015 08:07
Maar het volgende is net zo goed waar: Vijftig miljoen van ons belastinggeld geven aan een organisatie die jaren lang de tijd heeft gehad om een goed product te bouwen, ... is pure verspilling. Zoek op computable.nl naar overheid of lees daar de artikelen van Rene Veldwijk en je begrijpt dat een half miljoen voor openssl niets is.
Blokker_1999
@Ozzy12 oktober 2015 18:05
Free as in free speech, not as in free beer.

Vele open source projecten worden onder een licentie vrijgegeven die gratis gebruik mogelijk maakt. Maar die code moet ergens vandaan komen. Wil je dat developers zich volcontinue kunnen concentreren op een FOSS project dan moet iemand toch echt de rekening betalen. Vele developers werken dan ook voor grote bedrijven, al dan niet in de FOSS wereld, full- of parttime aan hun projecten.

Het is dus ook mogelijk om zelf developers in dienst te nemen die gaan meehelpen aan deze projecten.
WhatsappHack
@Ozzy12 oktober 2015 18:47
Ze doen er van alles mee, maar de policy is: "voor het ontwikkelen en beter maken van OpenSSL". Dat houdt dus niet in "For self enrichment". ;) Al zullen ze met grotere donaties misschien ook zelf wat meer kunnen overhouden voor alle tijd die ze erin steken.

Als je *exact* wilt weten wat ze precies met je geld doen: dat gaat niet.
Dat gaan in geen enkel open-source project zo. Ik run er zelf een en de donaties kunnen naar van alles gaan, bijvoorbeeld:
- Server en hosting kosten
- Marketing materiaal
- Advertentiekosten
- Kosten voor externe partijen
- Jaarlijks team cadeautje
- Donaties aan third-party open-source software waar we gebruik van maken
En ga zo maar door en door. Het is een hele waslijst.

Mensen die doneren kunnen niet kiezen waar het geld aan besteed wordt, en het kan ze niet verteld worden waar hun geld specifiek naar toe gaat; het gaat gewoon naar alles dat noodzakelijk geacht wordt om het project draaiende te houden; dus alles wat in het voordeel is van de organisatie. Wat meer moet je weten?
Als het vervolgens in eigen zak gestopt zou worden dan kan je flink gelazer krijgen, en dat is ook gewoon onethisch.

Kijk ook eens op:
https://www.openssl.org/support/donations.html

Je vergelijking met agenten en ambulance personeel slaat natuurlijk nergens op.
Dat is een heel ander debat, een totaal andere situatie; en ja ik hoop dat die meer geld krijgen: maar dat heeft echt geen donder te maken met veiligheid op het web/encryptie. :X
Die vergelijking is zo krom dat ik denk ik begin te snappen waarom je het belang van investeringen in dit soort projecten niet ziet. :P
Anoniem: 127670
@Ozzy12 oktober 2015 21:57
Geen TTIP om mee te beginnen, (vrijbrief voor terroristische bedrijven, weg ermee). Koningshuis, dat best 20% kan bezuinigen.

"Of nog beter als we zoveel om veiligheid geven, zorg ervoor dat agenten en ambulanciers er een normaal loon van krijgen."

Zekers, salarisverhoging en waardering voor het werk, voorkomt corruptie, stress in de politiemacht, papierwerk en die quotas verminderen.

En zorg, dat het politiesysteem een veilig administratieve database heeft voor onze burgers met SSL encryptie.

Daarom is een half miljoen niks. D66 goed bezig voor een suptiel project met zo veel verbetering.
FreshMaker
@Ozzy12 oktober 2015 17:24
Toch gek, ik zie hier vaak genoeg dat Open Source gratis is? Waarom betaal ik er dan voor?
omdat er een verschil is tussen open en gratis, een hobby is leuk, maar als er meer tijd in gaat zitten, zal er ergens wat ondersteuning vandaan moeten komen.

Open staat voor het gebruik, en de achtergrond, en héél misschien de gratis verspreiding van het product, maar dat wil niet zeggen dat iedereen er maar mee mag weglopen
Ozzy
@FreshMaker12 oktober 2015 17:34
Dat weet ik, free speech vs free beer. Maar ik wilde het toch scherp stellen.

Maar desalniettemin ben ik wel benieuwd wat er nou precies gedaan gaat worden met dat geld? Worden daar developers van betaald? En in hoeverre is dat anders dan een betaalde baan hebben?

En waarom wordt dit bijvoorbeeld wel gesubsidieerd en de armlastige artiest kapot bezuinigd. Beide hebben blijkbaar een verkeerd verdien model voor iets wat gezien wordt als algemeen nut.
CAPSLOCK2000
@Ozzy12 oktober 2015 18:28
En waarom wordt dit bijvoorbeeld wel gesubsidieerd en de armlastige artiest kapot bezuinigd. Beide hebben blijkbaar een verkeerd verdien model voor iets wat gezien wordt als algemeen nut.
OpenSSL heeft geen verdienmodel. Het doel is niet om er geld mee te verdienen. Iedereen die meewerkt aan OpenSSL bepaalt zelf wat z'n doel is. OpenSSL is vooral ondersteunende software. Aan alleen OpenSSL heb je niet zo veel, het is vooral nuttig als onderdeel van andere projecten.

Als je iets wil veranderen aan OpenSSL en je kan zelf niet programmeren dan moet je een programmeur inhuren om het werk te doen. Daar is dat geld voor.

Ik denk dat D66 hier geld aan wil uitgeven omdat ze denken dat het een goede investering is en dat ze er meer aan kunnen verdienen dan aan die arme kunstenaar. Of dat eerlijk en rechtvaardig is laat ik maar even in het midden maar het korte antwoord op je vraag is: geld.

[Reactie gewijzigd door CAPSLOCK2000 op 12 oktober 2015 21:47]

Anoniem: 127670
@Ozzy12 oktober 2015 21:37
Waarschijnlijk omdat de corrupte media-industie al genoeg heeft gekost.

Armlastige artiesten zijn slaaf van zogenaamde belangenorganisaties, die blijkbaar niet voor de artiest opkomen (en helaas zijn de meeste artiesten geen commerciele wonders). maar door subsidie/ corruptie van multinationals de democratische macht omkopen. De kracht van delen en massa-informatie zit in jou als artiest: Niet dat CD' tje/MP3 tje is nog iets waard, maar wat je ermee creert op Youtube, breng het op vinyl uit, festivals, doe iets leuks, maar verwacht niet in 2015 geld te verdienen aan een sullig MP3'tje!

Open-Source daarentegen:
Het DELEN van informatie, niet JALOERS zijn, willen VERANDEREN en meest belangrijke SAMENWERKEN: 4 kernpunten, waar de media-industrie verschrikkelijke moeite mee heeft.

Open source is self-sustainable omdat het community-driven is. Primair ook afhankelijk van idealisten en sponsors (toch hetzelfde in de artiestenwereld, jullie kunnen ook Open Source denken), maar uiteindelijk maakt de Open Source Software community meer juist gebruik van commerciele partijen, dan de muziekwereld ooit deed. Op zijn minst, de Open Source community maakt gebruik van vrije democratie, de mediawereld communisme.

Ik adviseer je daar als artiest even
flowerp
@Ozzy12 oktober 2015 22:38
En waarom wordt dit bijvoorbeeld wel gesubsidieerd en de armlastige artiest kapot bezuinigd. Beide hebben blijkbaar een verkeerd verdien model voor iets wat gezien wordt als algemeen nut.
In beide gevallen wil de eindgebruiker er niet voor betalen, maar de eindgebruiker wil eigenlijk nooit ergens voor betalen als deze er mee weg kan komen. En bij software, zeker als het opensource is een bijdrage optioneel, kom je er erg makkelijk mee weg door niet te betalen.

Het verschil is dat OpenSSL (en andere implementaties, maar toch vooral OpenSSL) nogal een belangrijke backbone is van het Internet en vele andere diensten die een openbaar nut dienen en die men WEL wil gebruiken en soms MOET gebruiken (denk aan diverse overheidsdiensten zoals b.v. belastingaangifte).

Het is dan ook niet zo gek dat de overheid dit financieerd, en dus indirect wij allen, omdat de meeste individuen als de vrekken die ze zijn alleen maar willen nemen, nemen nemen en nooit ook maar een cent terugbetalen.

Vergelijk het met een brug of weg. Wil ook niemand direct een cent voor betalen, maar wel elke dag overheen en klagen als er eens een gaatje in zit. Nouja, als je vertikt te betalen voor iets dat je wel gebruikt dan maar via gedwongen betalingen (aka belasting).
teacup
@Ozzy13 oktober 2015 12:34
En waarom wordt dit bijvoorbeeld wel gesubsidieerd en de armlastige artiest kapot bezuinigd. Beide hebben blijkbaar een verkeerd verdien model voor iets wat gezien wordt als algemeen nut.
Misschien komen we nog een keer tot het inzicht dat het begrip "verdienmodel" niet altijd als zaligmakend criterium is te hanteren. Commercialisering van betrouwbare encryptie klinkt naar mijn idee ook een beetje als een paradox.
FreshMaker
@Ozzy12 oktober 2015 17:39
Daar ben ik het helemaal met jou eens.

De ene kunstenaar kan zich jarenlang 'bedruipen' door subsidies en toelagen, terwijl een andere niet eens de tijd krijgt om iets te presteren.
Met dit soort subsidies wordt een muur opgeworpen naar andere projecten, die misschien even, of zelfs nuttiger zijn.

Er was hiervoor al een reactie dat met een injectie van 5 á 10K ook genoeg gedaan kon worden, en dat deze bedragen alleenmaar 'managers' aantrekt, die vervolgens de boel kapot-managen
wildhagen
@Ozzy12 oktober 2015 17:19
Open Source is niet per definitie gratis. Veel gemaakte fout. Een OpenSource pakket kan best commercieel zijn.
blorf
12 oktober 2015 17:46
Hoe het precies zat weet ik niet meer, maar was OpenSSL niet op uiterst dubieuze wijze "officieel" onbetrouwbaar verklaard door de makers ervan zelf? Er werd geloof ik zelfs beweerd dat de broncode te rommelig was geworden om er nog iets van te maken. Als ze nou echt open en transparant willen zijn zou ik als ik D66 was eerst met opheldering hierover komen. We mogen toch aannemen dat ze weten waar ze het over hebben. O-)
Blokker_1999
@blorf12 oktober 2015 18:03
De broncode bevat vooral veel oude code omdat men het project zoveel mogelijk backwards compatible wil houden met oude crypto standaarden. Dit zorgt voor bijkomende complexiteit maar betekend niet automatisch dat het onbetrouwbaar is.
marcop23
@blorf12 oktober 2015 18:22
Ik denk dat je je vergist met Truecrypt, die is inderdaad 'ten onder' gegaan doordat de maker zelf op een dubieuze manier heeft verklaard dat het onveilig was:

https://www.reddit.com/r/...as_happened_to_truecrypt/
blorf
@marcop2312 oktober 2015 18:25
Je hebt gelijk, dat was hem. Ik was al aan mezelf aan het twijfelen en zat al te zoeken in de t.net nieuws history. :)
CAPSLOCK2000
@blorf12 oktober 2015 18:23
Hoe het precies zat weet ik niet meer, maar was OpenSSL niet op uiterst dubieuze wijze "officieel" onbetrouwbaar verklaard door de makers ervan zelf?
Ik denk dat je in de war bent TrueCrypt, daarvan gaven de ontwikkelaars een tijdje geleden aan dat er iets mis was.

OpenSSL is inderdaad een rommeltje. Het sleept 20 jaar geschiedenis mee en werkt op de meest uiteenlopende systemen, echt alles van horloges tot supercomputers. Daardoor moeten ze met ontzettend veel uitzonderingen rekening houden. In 20 jaar ontwikkeling is er veel veranderd. Dan bedoel ik niet alleen hardware en software maar ook onze visies op beveiliging. Daar komt nog bij dat de oospronkelijke ontwikkelaars nog niet zo veel ervaring hadden en daardoor nogal wat beginnersfouten hebben gemaakt waar we nu nog steeds last van hebben.

Dus ja, het is een rommeltje maar wel een heel nuttig rommeltje omdat het overal werkt.

Er zijn projecten die OpenSSL proberen te herbouwen door alle troep er uit te slopen en alleen de nieuwste en meest gangare systemen te ondersteunen. Dat is mooi als je zo'n nieuw systeem hebt maar er is ook nog een hoop oude troep in de wereld en een hoop afwijkende architecturen. Daarom denk ik dat er nog heel lang een markt blijft voor OpenSSL.
TonnyTonny
12 oktober 2015 16:56
Verrek... Een politieke partij die met een verstandige mening over encryptie...
De wonderen zijn de wereld nog niet uit blijkbaar :D
TheStef
@Mangofruit12 oktober 2015 18:02
D66 al jaren bezig om open source meer ruimte te geven
2003 http://www.computable.nl/...lichten-bij-overheid.html
2012 http://www.gic.nl/nieuws/...voor-inzetten-open-source
2012 http://webwereld.nl/open-...rdam-west-wil-open-source
2010 http://www.binnenlandsbes...en-troonrede.180677.lynkx
En natuurlijk het verkiezingsprogramma p27 en p31
http://www.parlement.com/..._verkiezingsprogramma.pdf
unglaublich
@Mangofruit12 oktober 2015 17:07
Bestaat er volgens jouw doemdenken één standpunt van een willekeurige partij die niet bedoeld is om een groep kiezers te paaien? Weet je wat het idee van een 'volksvertegenwoordiger' is? ;) Ik vind dat D66 hier simpelweg een interessant punt maakt: de overheid verwacht een hoop van het internet dus moeten ze ook hun steentje bijdragen (en dan niet met één of ander gesloten ICT project, maar gewoon open).
Anoniem: 146875
@TonnyTonny12 oktober 2015 17:02
Inderdaad goed om te horen, alleen jammer dat dit: "Als een overheid pleit voor het inbouwen van achterdeurtjes in software, dan is ze verkeerd bezig."

Haaks staat op de onvoorwaardelijke stuen die D66 voor TTIP heeft. Alle voorwaarden die de D66 zogenaamd stelt aan het verdrag (nationale wetten mogen niet in conflict zijn met TTIP, etc.) zijn nl. onmogelijk te garanderen als met TTIP wordt ingestemd, dan wordt dat de nieuwe wet.
SED
@Anoniem: 14687512 oktober 2015 19:01
Dit plan staat niet alleen .
Zie bijv ook: http://www.nu.nl/tech/377...ocommissaris-privacy.html
Versleutelen van data is daarbij een belangrijke stap.
of deze:
http://www.nu.nl/internet...gaat-procederen-acta.html
Kortom, ze hebben aandacht voor goede zaken. Nu de rest nog!
mashell
12 oktober 2015 17:13
Ik ben bang dat je zo'n open source project van vrijwilligers opblaast als je er zoveel geld in stopt. Dan volgen de verantwoording van het geld, komen de accountants en gaat de lol er vanaf. Het idee is goed maar geef ze hooguit 10k om de lopende rekeningen te betalen.
26779
@mashell12 oktober 2015 18:18
Opensource is niet synoniem met amateuristisch. Met name de grotere projecten hebben een zeer degelijke financiele structuur. Ook zijn er gewoon jaarrekeningen zodat rekenschap gegeven kan worden over de balans etc...

Ik ben het dan ook met CAPSLOCK2000 eens dat er structureel aan dit soort kritische projecten besteedt moet worden en bij voorkeur een constructie die .nl devs de mogelijkheid geeft om meer tijd aan een dergelijk project te kunnen besteden.
mashell
@2677912 oktober 2015 18:27
Opensource is niet synoniem met amateuristisch
Dat is een heel andere discussie en ook niet wat ik beweer. Als we kijken wat een groot project als Libreoffice omzet (hun laatste cijfers zijn van 2013) dan is dat een kwart van dat half miljoen van D66). Een half miljoen is dus genoeg om gedoe te krijgen over de verdeling. Dus als D66 een half miljoen wil geven dan is 10 jaar lang 50k een betere optie.
WhatsappHack
12 oktober 2015 18:28
Ik vind een half miljoen voor OpenSSL overdreven.
Leuk dat D66 wil investeren in open source, maar OpenSSL is slechts één project, met reeds verschillende backers... 500.000 EUR aan 1 project is relatief belachelijk, en de vraag is ook wat ze met al dat geld moeten. Er wordt al veel gesponsord; en voor bijvoorbeeld een audit oid is zoveel geld niet noodzakelijk, zeker niet met meerdere donateurs. Het is ook teveel een one-man show geweest, al gun ik hem het salaris wel! :) Als ze dan iets meer mensen aan kunnen nemen: okee... Maar het zou beter zijn als de community er gewoon meer en beter mee aan de slag gaat!

Ik zou eigenlijk veel liever zien dat ze een miljoen (of vijf...) vrijmaken en aan allerlei opensource initiatieven voor encryptie doneren... Ook aan de ontwikkeling van juist nog minder bekende protocollen en oplossingen.
Dat de overheid in open-source investeert is mooi, daar zie ik graag belastinggeld naartoe gaan... Maar dan wel slim, eerlijk en strategisch aangepakt: niet opeens een smak geld bij 1 random toko dumpen en het dan weer voor gezien houden.

Dat laatste is ondoordacht, en meer iets voor de buhne; want snugger is het niet.
Either way, het is mooi dat ze het uberhaupt al overwegen. Erg jammer dat ze voor de rest geen goede punten hebben.

[Reactie gewijzigd door WhatsappHack op 12 oktober 2015 18:29]

CAPSLOCK2000
@WhatsappHack12 oktober 2015 18:57
Volgens mij onderschat je een beetje hoeveel een audit kost. Ik geloof niet dat je een project als OpenSSL kan auditten voor een half miljoen. Grappig genoeg (nouja) heeft de Nederlandse staat als een keer een audit gedaan van SSL, maar dat was PolarSSL. Daar hebben ze toen al voor gekozen omdat OpenSSL te rommelig was.

Ik hoop een beetje dat ze het geld niet direct aan OpenSSL geven maar er programmeurs voor inhuren. Van de andere kant bestaat dan wel het gevaar dat die zinloos werk gaan doen waar OpenSSL helemaal niet op zit te wachten.
WhatsappHack
@CAPSLOCK200012 oktober 2015 19:03
OpenSSL kan auditten voor een half miljoen. Grappig genoeg (nouja) heeft de Nederlandse staat als een keer een audit gedaan van SSL, maar dat was PolarSSL. Daar hebben ze toen al voor gekozen omdat OpenSSL te rommelig was.
Je komt er een eindje mee; afhankelijk van door wie je het laat doen: maar ik doelde erop dat er meer sponsoren zijn. :) Ze worden gebacked door oa Nokia, Huawei, Oracle, Linux Foundation, en ga zo maar door en door. Die hebben flink wat geld gekregen de laatste tijd en heul veul corporate resources! ;)

Eigenlijk is de overheid nogal eh... aan de late kant... Om uberhaupt met zo'n voorstel te komen.
Ik hoop een beetje dat ze het geld niet direct aan OpenSSL geven maar er programmeurs voor inhuren. Van de andere kant bestaat dan wel het gevaar dat die zinloos werk gaan doen waar OpenSSL helemaal niet op zit te wachten.
Ze mogen wat mij betreft best direct investeren in OpenSSL.
Maar dan niet het hele bedrag in 1x, maar in delen (eg: 5 jaar lang 10K per maand, tenzij het wordt opgeheven, etc.); maar eigenlijk ook veel liever gewoon aan 10 (zeer) belangrijke (encryptie/security) projecten 10K per maand geven. Niet alles op 1 hoop bij OpenSSL dumpen, dat gaat imho gewoon nergens over.
himlims_
12 oktober 2015 16:57
Blijft dat toch lastig die politiek, ene kan draait 66 vaak omhun eigen uitspraken heen; rede voor mij voor een nee. Aan de andere kant lijken ze best bewust van de mogelijkheden bij aanbestedingen en zijn ze voorstander van hanteren van open-standaarden..
Blokker_1999
@himlims_12 oktober 2015 18:06
Er zijn maar weinig politieke partijen die rechtlijnig zijn in hun standpunten. Al helemaal niet wanneer het op standpunten aankomt die niet tot hun kernprogramma behoren.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee