×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

EU breidt auditprogramma voor opensourcesoftware uit met bug bounty

Door , 46 reacties

Het Europarlement heeft donderdag het budget voor de EU goedgekeurd. Daarvan besteedt de EU 1,9 miljoen euro voor het doorzetten van het Fossa-project, waarmee audits van opensourcesoftware uitgevoerd worden. Het programma is bovendien uitgebreid met een bug bounty.

Vlaggen lidstaten EuropaD66-Europarlementariër Marietje Schaake schrijft dat een dergelijk programma het vinden van bugs en kwetsbaarheden in software stimuleert door financiële beloningen uit te delen aan onderzoekers. Door een bug bounty-programma moeten beveiligingsprofessionals nauwer betrokken worden bij het beveiligen van de netwerkinfrastructuur van de Europese Unie. Schaake maakt niet bekend welke bedragen voor het vinden van bugs uitgedeeld zullen worden.

Het Fossa-programma bestaat sinds twee jaar en is opgezet door de Europarlementariërs Julia Reda en Max Andersson. Los van het uitvoeren van audits, waarbij software op lekken wordt onderzocht, ontwikkelt de EU binnen het programma criteria aan de hand waarvan de kwaliteit van opensourcesoftware vastgesteld kan worden, aldus Reda.

Tot nu toe heeft het Fossa-programma ervoor gezorgd dat twee programma's een audit hebben ontvangen. Dat zijn Apache en Keepass. Van de Keepass-wachtwoordmanager is de audit inmiddels afgesloten, waarbij er geen kritieke kwetsbaarheden naar voren kwamen. De software die een dergelijk onderzoek van de broncode ontvangt, wordt door middel van een enquête vastgesteld. De Europese Commissie maakte de resultaten van de vorige enquête in juli bekend.

Door Sander van Voorst

Nieuwsredacteur

02-12-2016 • 17:49

46 Linkedin Google+

Reacties (46)

Wijzig sortering
Lijkt me wel dat de developers zelf uitgesloten zijn van de bug bounty, want anders bouw je gewoon een bug in en rapporteer je die later.

Ik heb hier wel een dubbel gevoel bij, van de ene kant denk ik, ja het is goed, van de andere kant denk ik, wat een verspilling van mijn zuur betaalde belastingcenten. Het is immers alleen maar een moment opname, het is afhankelijk van welke branch er gecontroleerd wordt, en er wordt maar een zeer beperkt aantal software gecontroleerd. Naast dat er nog steeds geen garantie is dat de software ook daadwerkelijk geen kwetsbaarheden heeft, immers kan verbeterde inzicht weer leiden tot vinden van kwetsbaarheden.
Ik heb hier wel een dubbel gevoel bij, van de ene kant denk ik, ja het is goed, van de andere kant denk ik, wat een verspilling van mijn zuur betaalde belastingcenten.
Nee, dat is het juist niet denk ik. Het alternatief is closed source software, waarbij je als overheid / gebruiker niet altijd de mogelijkheid hebt om de risico's in kaart te brengen. Als het programma als effect hebben dat overheidsinstanties in de EU de overstap naar open source durven te maken, dan hebben ze die 1,9 miljoen zo terugverdiend. Dat is net 2 ton meer als wat Nederland elk jaar overmaakt aan Microsoft voor het onderhoud van 5000 Windows XP PC's uit het jaar nul.
Het is immers alleen maar een moment opname, het is afhankelijk van welke branch er gecontroleerd wordt, en er wordt maar een zeer beperkt aantal software gecontroleerd.
Het zet de mensen wel op scherp. Als niemand je op je fouten wijst, blijf je dezelfde fouten maken. Dus blij dat het er is. Garanties krijg je echter niet.
Als het programma als effect hebben dat overheidsinstanties in de EU de overstap naar open source durven te maken, dan hebben ze die 1,9 miljoen zo terugverdiend.
Er is al meermaals bewezen dat Open Source software, in de praktijk, niet goedkoper is dan closed source alternatieven. Onderhoud is nogsteeds niet gratis en dat is zo'n 95% van de kosten van het systeem.

Dat wij zo oerdom zijn om niet te upgrade wil niet zeggen dat het goedkoper zou zijn om 5000 Ubuntu 10.4 PCs in de lucht te houden.
Er is al meermaals bewezen dat Open Source software, in de praktijk, niet goedkoper is dan closed source alternatieven. Onderhoud is nogsteeds niet gratis en dat is zo'n 95% van de kosten van het systeem.
Lovenswaardig dat u niet alleen aan aanschaf, maar ook aan het onderhoud denkt. Het was nóg beter geweest als u ook het delen van deze 'onderhoudskosten' had genoemd, iets wat bij 'open source' wel kan, en bij 'closed source' niet, en als u buiten de gebruikerskosten ook nog aan de ontwerpkosten (dus kosten voor de leverancier) had gedacht was het helemaal geweldig geweest.

Bijv: Vroeger bouwde iedere ARM SoC-maker zijn eigen stuk in de Linux-kernel. Hier zat heel veel dubbeling in, dubbele kosten. Later ging men samenwerken, en voortaan konden SoC-makers van elkaars inspanningen (subsystemen) gebruik maken. Dit is op dezelfde manier als de wetenschap dubbel werk kan voorkomen, en dus kosten besparen, omdat de resultaten vaak 'open' toegankelijk zijn voor alle onderzoekers.

Dit 'delen' voorkomt vervolgens weer kosten voor de maatschappij als geheel. Bijv, Microsoft, Dropbox en Google bieden allemaal een dienst aan om bestanden in de cloud op te slaan. Ga ervanuit dat 1 oplossing het efficientste met stroom omgaat, ten opzichte van deze oplossing verspillen de andere twee oplossingen stroom. Stel dat ze hun oplossingen met elkaar zouden delen, dan zouden ze de efficientste (goedkoopste) methode kunnen kiezen, en dit zou de maatschappij als geheel verspilde energie besparen.

[Reactie gewijzigd door kidde op 2 december 2016 21:16]

Als heel Europa.. en dus alle landen zouden meewerken aan het onderhoud zou dat echt heel veel schelen. Ik denk dat de kracht met betrekking tot het open source voornamelijk zit straks in de samenwerking binnen de EU aan de gebruikte software.
Tja, maar het zou innovatie juist ook weer in de weg kunnen staan, immers is er voor bedrijven dan geen incentive meer om uberhaupt nog geld te steken in R&D. En in veel gevallen worden de kosten helemaal niet gedeeld.
Ik was laatst nog bij het gemeentehuis om wat documenten aan te vragen. Het werd nog ingevuld in een Windows applicatie. Wie onderhoudt die applicaties? Wie biedt er support als er een storing is?

Ik ben een groot voorstander van cloud-gebaseerde oplossingen. Daarmee schop je in één keer die 5.000 XP gebakjes het pand uit en kun je direct overstappen op Linux. Het enige wat gebruikers dan nog moeten hebben, is toegang tot een browser. Dat kun je verder zo aan restricties binden dat het een kwestie is van opstarten, inloggen en klaar.

[Reactie gewijzigd door mind123 op 2 december 2016 21:56]

Ik ben een groot voorstander van cloud-gebaseerde oplossingen. Daarmee schop je in één keer die 5.000 XP gebakjes het pand uit en kun je direct overstappen op Linux. Het enige wat gebruikers dan nog moeten hebben, is toegang tot een browser. Dat kun je verder zo aan restricties binden dat het een kwestie is van opstarten, inloggen en klaar.
En once again: Wat schiet iemand er mee op dat er nu geen Windows PCs meer staan maar Linux PCs? Wie wordt daar op welke manier beter van?

Ten eerste moet de gemeenschap het ombouwen van de applicatie betalen, daarna moet de gemeenschap het installeren van die nieuwe PCs betalen, het omscholen van alle support mensen, etc. Uiteindelijk is dat een heel stuk duurder dan gewoon laten staan wat er nu staat.

En zelfs al pas je de applicatie wél aan, zelfs dan is het nogsteeds niet zinvol om Linux op die PCs te zetten. Zoals gezegd; alle onderzoeken tot nu toe stellen dat dat minstens net zo duur is als ze gewoon op Windows laten draaien.
Zoals gezegd; alle onderzoeken tot nu toe stellen dat dat minstens net zo duur is als ze gewoon op Windows laten draaien.
Alle onderzoeken vaak aantoonbaar vol fouten en meestal betaald door Microsoft daargelaten, zullen we eens naar de praktijk kijken?

Flutonderzoek van Microsoft vol fouten gecorrigeerd door de gemeente München:
http://www.zdnet.com/arti...s-cheaper-insists-munich/

Op Linux blijven voor München goedkoper dan overstappen op Windows, meer dan 10 miljoen belastinggeld bespaard en minder support nodig (door minder problemen) dan bij Windows, en GEEN trainingskosten nodig voor Linux (allee voor OO) http://www.zdnet.com/arti...and-returning-to-windows/

25% minder IT personeel nodig dan bij Windows: http://www.techrepublic.c...ns-new-ground-in-germany/

Miljoenen belastinggeld bespaard en veel minder IT personeel nodig: http://www.lapresse.ca/le...ux-chez-les-gendarmes.php
Het denken in PC's (Peronal Computers) is achterhaald. De overgang naar werken "in de cloud" is niet meer tegen te houden. Ook bij de overheid draait de interconnectie programmatuur grotendeels op Linux. Centrale Overheids programmatuur wordt binnen b.v. ICTU ontwikkeld met open broncode en vaak binnen een Linux omgeving (de voorkeur van ontwikkelaars). Onderzoek naar de kwaliteit van vaak gebruikte open broncode is daarom beslist geen weggegooid geld.
U snapt het. :-)
En die Cloud moet worden gevoed met sensoren allerhande. M.a.w. met toestelletjes die ons omringen. Niet met PCs. Zoals je zegt is de PC (de Personal Computer die op de zware eikenhouten bureau van de papa van het gezin staat) volledig, maar dan ook volledig, achterhaald.

Zelfs in bedrijven is het meer en meer zo dat de typische workstation computer al maar meer achterhaald wordt. Men gebruikt tablets (bv. pas nog die mannen van de bank die met een tablet hun hele administratie bij mij thuis deden, ipv een vel papier in te vullen om het daarna over te schrijven bij hun op kantoor m.b.v. hun workstation).

Mensen hebben nooit die domme bak of PC in de huiskamer gewillen. Computing wordt geïntegreerd in hun levens.

D.w.z. volledig aangepaste toepassingen. Geen standaardpakketten meer. En dat wil zeggen: gebruik maken van componenten. En die componenten zijn heel vaak open source. Je wil als ontwikkelaar namelijk niet continu alles opnieuw moeten bouwen, als er prima componenten voorhanden zijn.

De game industrie werkt ook zo. Als jij 3D bomen wil, dan koop je die aan. Als jij water wil in je game, dan koop je dat aan. Wil jij fysica in je engine: dan bestaat dat al. Een game maken is niet meer zoals Doom waarbij alles from scratch moest gemaakt worden.

Dat is ook zo bij die dingen die ons gaan en reeds nu omringen. En heel vaak zijn dat open source componenten.

De mensen moeten niet weten dat al die dingen Linux draaien hoor. Dat je Duitse wagen gewoon Linux met Wayland en Qt en QML is: dat weet de consument niet. Ik als ontwikkelaar wel. Heel veel van die componenten zijn open source. Al die componenten hebben enorme baat bij bug bounties.

De tijd dat een oplossing een reeks installaties van bestaande pakketten was, is veelal voorbij. Sure voor eenvoudige zaken wel. Maar die verhuizen ook al maar meer naar de Azures, Amazons en andere Cloud diensten. Wie nu nog zo'n sysadmin is, doet er goed aan zich hierin te herscholen.
Wat een onzin. Wij zijn als bedrijf een paar jaar terug overgegaan naar cloud gebaseerde oplossingen. Onze Windows PC's (met lokaal geïnstalleerde applicaties als ERP, CRM en Office) konden daarmee in één klap vervangen worden.

Het enige waar je dan nog voor moet zorgen is een goede netwerkinfrastructuur en RBAC voor de applicaties.

Natuurlijk kost dat geld. Natuurlijk moeten er mensen ongeschoold worden. Maar vergeet niet dat dit soort trajecten vaak getraineerd worden door it-managers die maar wat graag hun eigen stekje veilig stellen.
Zoals gezegd; alle onderzoeken tot nu toe stellen dat dat minstens net zo duur is als ze gewoon op Windows laten draaien.

Exact. Wat mensen vaak niet beseffen - omdat ze vooral de consumentenkant van de computerwereld zien - is dat met afstand het grootste deel van de kosten zit in onderhoud en configuratie. Licentiekosten van Windows, MacOS of Office zijn een zeer klein deel van de totale kosten van software. De keuze voor closed vs open source is dan ook volstrekt irrelevant voor bedrijven. Voor bedrijven zijn de kosten van onderhoud en support relevant, plus contracten betreft het oplossen van problemen.

Voeg bovendien toe dat voor veel grote bedrijven en overheden Windows open source is (want ze hebben contractueel toegang tot de source), en andersom populaire open source pakketten effectief juist closed source, want men installeerd enkel gecompileerde pakketten van 3rd parties.

Dat heeft overigens allemaal bijzonder weinig te maken met dit EU project, wat vooral ging om het stimuleren van kwaliteit van populaire open source pakketten. Dat zou op zich een goed initiatief zijn, ware het niet dat de selectie van de open source pakketten tot nu toe op basis van niet representatieve polls ging ipv objectieve criterea gebaseerd op gebruik onder bedrijven etc. Hierdoor is er grote kans dat bugs gevonden worden in producten waar de Europese economie weinig aan heeft, terwijl producten die veel gebruikt worden onder bedrijven niet in aanmerking komen voor de bug bounty.
Ik ben er voorstander van zolang het in een goed beveiligde private cloud gebeurt, met lokale opslag - op z'n minst voor kritieke bestanden.

Gewoon een random cloud service? Blol, nee. Absoluut geen voorstander van.
Ook te vaak juridisch gelazer mee.
Ik ben het er helemaal mee eens. We gaan weer terug naar het main frame principe van vroeger.

Domme clients welke geen updates behoeven of nagenoeg niks. Deze clients verbinden op een veilige encrypted manier met je server waar de desbetreffende applicatie natuurlijk redundant draait en op verschillende locaties. Gewoon geen single point of failure. Doet je client het niet, haal je die weg vervang je die gauw met een anderen en werk je verder.

Het OS zal straks niet meer zo belangrijk zijn. Daarom pakt men de goedkoopste optie als je enorm veel clients hebt. Dat is Linux.

[Reactie gewijzigd door Texamicz op 3 december 2016 13:14]

Yes master! Hier ging laatst een PC defect, net toen ik bezig was om een offerte te schrijven. PC afgekoppeld, andere van de plank gehaald, aangesloten en starten maar. Binnen een paar minuten weer verder.
En dat is dus bij een goed geadministreerde windows omgeving precies zo. Een slecht geadministreerde linuxomgeving is net zo ruk als dat bij windows.
Tja is toch exact hetzelfde als bij opensource, ook daar is geen garantie dat deze onderhouden blijft. Ja, het is mogelijk om dat zelf te doen, maar dan moet je daar alsnog de expertise voor inkopen/inhuren en ook dat geeft geen garanties.
In veel gevallen wordt open source software gebruikt om er toepassingen mee te bouwen. Bijvoorbeeld Qt wordt in veel Duitse industrieën veelvuldig gebruikt. OpenWRT en haar vele componenten wordt bijvoorbeeld in héél wat routers gebruikt.

Beveiligingsfouten die in zulke componenten gevonden worden, helpen dus ook de kwaliteit van zaken die gebouwd worden met behulp van die open source componenten.

Voor mij is dat aspect veel belangrijker dan Ubuntu 10.4 PCs: massa's bedrijven zijn momenteel bezig met met behulp van allerlei open source software, systemen en toestelletjes te maken. De kostprijs van een bestaande open source software te gebruiken i.p.v. het helemaal zelf te ontwikkelen is uiteraard in de meeste gevallen veel lager. Plus geniet je als gebruiker van die componenten van de verbeteringen (zoals security verbeteringen). De gebruikers moeten hun producten natuurlijk ook laten upgraden. Bv. al die toestelletjes die niet konden geupgrade worden en die met OpenSSL op de markt gesmeten werden, hebben door Heartbleed uiteraard voor een groot security probleem gezorgd.

OpenSSL is gefixed hoor. Alleen die toestelletjes waar die oude versie op draait geraken maar niet zelf geupgrade. Want die mogelijkheid hebben de fabrikanten niet voorzien.
Sorry maar deze bijdrage valt na mijn mening toch 100% in de categorie FUD. 8)7

Ten eerste valt bij Open Source het budget dat aan licenties wordt verkwanselt weg.

Ten tweede is er geen enkele reden om Ubuntu 10.04 PC's in de lucht te houden. De upgrade procedure naar een nieuwe LTS versie is immers slechts een achtergrond proces, dat in principe kan worden uitgevoerd, terwijl de machine wordt gebruikt.
Ten eerste valt bij Open Source het budget dat aan licenties wordt verkwanselt weg.
Het budget wat naar licenties gaat stelt geen drol voor in vergelijking met het budget wat naar onderhoud en ondersteuning gaat. En laat dat nou voor Linux hoger uitvallen dan voor Windows....
Ten tweede is er geen enkele reden om Ubuntu 10.04 PC's in de lucht te houden. De upgrade procedure naar een nieuwe LTS versie is immers slechts een achtergrond proces, dat in principe kan worden uitgevoerd, terwijl de machine wordt gebruikt.
Seriously? Kun je dat met droge ogen zeggen?!

Een vriend van mij heeft nooit wat anders gebruikt dan Linux. Hij weet dus enorm goed waar hij mee bezig is. (Deze goede man heeft aan de Linux kernel gebouwd; het is geen n00b) Hij heeft laatst twee PCs van een standaard 14.4 installatie geprobeerd te upgraden naar een standaard 16.4 installatie. In beide gevallen heeft de upgrade het systeem dusdanig beschadigt dat alle data als verloren beschouwd moest worden.

Nee, een LTS versie upgrade is geen achtergrond process. Dat is het nooit geweest en zal het nooit worden. En nee, het is ook geen stabiel process. Het is heel sterk af te raden om dit als upgrade door te voeren; je bent beter af met een volledige reinstall.

[Reactie gewijzigd door Croga op 3 december 2016 08:59]

Dit heeft te maken met hoe vrijwel alle operating systems nog opgebouwd zijn. Vrijwel alle OS's overschrijven oude bestanden, in plaats van dat ze nieuwe bestanden ergens anders plaatsen en vervolgens naar de nieuwe bestanden refereren. Als je dit atomisch doet, dan zal je systeem blijven werken, ook als de update mislukt. Systemen zoals dit bestaan, en ik gebruik een Linux distributie (NixOS) die dit bijvoorbeeld gebruikt.
Dat is raar. Ik heb op mijn Debian server zelfs UnattendedUpgrades op staan. Dat wil zeggen dat, en dit gebeurt bijna iedere dag (zelfs soms een paar keer), security upgrades volautomatisch geïnstalleerd worden.

Ik heb wel de auto-reboot afgezet maar krijg een E-mailtje wanneer dat nodig is. En dan trigger is manueel die reboot.

Dat werkt nu al zo ongeveer drie jaar. Zonder problemen. Services die afhankelijk zijn van zo'n upgrade herstarten ook volautomatisch na het uitvoeren van de volautomatische upgrade. Ik draai E-mail, HTTP, Jabber, IMAP, OpenSSH, NS, NTP en nog wel wat zaken. Ik zou het ook niet aandurven om een systeem naakt op het Internet te zetten zonder zulke volautomatische upgrades.

Natuurlijk gebruik ik wel een versie van Debian waar het van gekend is dat het bijna altijd goed gaat. En natuurlijk gebruik ik Debian (en niet Ubuntu). De mensen die aan Debian werken lijken het allemaal een beetje serieuzer te nemen. Ubuntu is precies meer zo van: ja ja, wij groot bedrijf, wij geld nodig, wij wij doen maar wat, jullie geld geven, wij groot bedrijf.

Debian is meer zo van: really important stuff uses us. Let's not fuck up.

Maar goed. Dan nog loopt het wel eens mis. Gelukkig ken ik er in die gevallen behoorlijk wat van om te recoveren. Maar toch is dat nog nooit echt nodig geweest bij Debian.

Pas op. Voor mijn ontwikkel omgevingen die soms unstable en zo draaien wel hoor. Maar daar verwacht ik niet anders.
En zo is dat dus ook bij de huidige windowsversies.
Dat geloof ik. Is immers niet zo moeilijk te implementeren.
Bullshit dat de upgrade slechts een achtergrond proces is, daarom is het zeker dat ik al een paar keer bij simpel upgraden daarna de boel weer opnieuw kon 'formateren en installeren' omdat ineens na de 'simpele' upgrade een zwik dingen niet meer werkte. Upgraden (in een zakelijke omgeving) is net zo'n proces bij linux als bij windows, iets dat je goed moet voorbereiden en niet zomaar moet uitvoeren.
Het voordeel bij open source is dat je naar een andere aanbieder kan voor het onderhoud.

Bij closed source kan je alleen naar de eigenaar van de source, en die kan de prijs onbeperkt verhogen als je eenmaal aan de software vast zit. En dat dat gebeurt ook. Captive customer zijn is niet leuk...
Tsja, de overstap naar open source, overal een successverhaal. Toch? :X

Dat het goedkoper is omdat het minder geld kost heeft natuurlijk alleen betrekking op je software kosten. Voor veel organisaties zitten de kosten verhoudingsgewijs vooral in de werknemers en niet de software. De operationele kosten kunnen echter oplopen en de besparing ongedaan maken. Ik denk dat vooral veel van deze opensource flirts afhaken om bovenstaande reden. Ook moet je mensen omscholen.

Maar superdre maakt wel een goedpunt. Hij gaat gelijk krijgen ook, er gaan mensen doen wat hij schetst en omdat het EU betreft vrees ik dat die er met boter en suiker in gaan. Het is gewoon te makkelijk.
Nee, het is niet overal een succes. Maar met de juiste omstandigheden met als wanneer de hele EU zou samenwerken het wel een gigantisch succes zou kunnen worden.

Als je kijkt naar een duitse gemeente die Linux heeft gedraaid en heel veel applicaties dus zelf moesten maken... (Dit was dus geen succes, maar als je heel veel gemeenten over zet op Linux zou dit juist een groot succes kunnen worden.)

En het lijkt me ook wel eens goed om de ICT binnen de EU een impuls te geven dan enkel alleen maar achter de USA aan te lopen betreft hun software. Denk je ook niet?
Ik denk dat je er aan voorbij gaat hoeveel maatwerk gemeentes alleen binnen Nederland al hebben om alle achterlijke plaatselijke verordeningen en uitzonderingen daarop. Zelfs nationaal zijn al die regeltjes bijna onmogelijk te vangen in een one-size-fits-all solution. Als je dit extrapoleert naar europese landen wordt het 100x zo erg.

En als er in de EU software wordt gemaakt die beter is dan zou dat gewoon gebruikt worden.

Nee, ik denk van niet.
De EU maakt alleen maar ellende omdat iedereen er weer zijn mening en eisen in verwerkt moet zien. En dus wordt het bagger en moeten ze tegen die tijd 150 miljoen vrijmaken voor bug-rewards.
Die open source software is infrastructuur, net zoals je bij andere leveranciers infrastructuur koopt. Of heb je bij Oracle of Microsoft een programma "Volledige administratie gemeente, versie Rotterdam, inclusief gegarandeerde aanpassingen tot 2018" op de prijslijst zien staan? Ik denk het niet, want dat zijn altijd die rampzalige ICT overheidsprojecten.

Een voordeel van het gebruik van open source is dat er veel meer kennis in de markt aanwezig is, dus je kan ITers vinden die rechtstreeks van de universiteit komen bijvoorbeeld. Een nadeel is dat er zelfs geen basis-gemeentefrontend hoeft te zijn. Voor dat laatste zou een pool van her te gebruiken software een mooi ding zijn...
En waar worden al die developers die de software maken/onderhouden dan van betaald? Wie gaat dan bepalen welk bedrijf wat gaat doen?
Doorgaans brengen wij (ik werk ook aan en met opensource software) zulke bugfixes naar in ieder geval nieuwere branches (releases) en vaak ook naar oude releases. Als je wil weten hoe dat technisch plaatsvindt in de versie-controle systemen dan kan je bv. naar gitflow en semver.org kijken. Je ziet dat in giflow de zogenaamde hotfix release zowel als een release uit de duur gaat, als dat er naar de "develop" branch gemerged wordt. Uit die laatste branch worden nieuwe releases gemaakt (die uiteindelijk op de zogenaamde master branch komen). Bij het releasen wordt dan de y van x.y.z opgehoogd en de z op 0 gezet. 1.0.1 wordt dus 1.1.0. Het kan ook dat oudere releases bijgewerkt worden met een patch. In dat geval zie je in de versienummer (x.y.z) enkel de z ophogen. Versie 1.0.1 wordt dus 1.0.2.

Zeker security bugs gaan niet zo maar verloren bij de betere opensource projecten. Daar zorgen de mensen die je kan terugvinden in die MAINTAINERS file voor.
Wat zou er gebeuren als we binnen de EU software opzetten met elk land een maintainer en zo software maken waar elk land van kan profiteren. Zoals software wat gebruikt zal worden door de overheid en gemeenten e.d. Wanneer de regels binnen de EU steeds meer naar elkaar getrokken zullen worden zou dit nog best eens kunnen werken. Zijn we tenminste wel een stukje dichterbij onafhankelijkheid van Amerikaanse spionage software uit Silicon Valley & Redmond.
Toen ik bijna 20 jaar geleden me begon te interesseren in open source software, deed ik dat niet vanuit het oogpunt om ons onafhankelijk te maken van Amerikaanse spionage software. Dat was toen nog niet echt zo'n supergrote issue. We vertrouwden er wel wat op dat die diensten het goed voorhadden met de Westerse mensheid. Dat was naïef, bleek nu. Maar goed. We passen ons aan aan de realiteit die deze diensten hebben gecreëerd he.

Misschien een paar jaartjes in het begin was het vooral te doen om ons onafhankelijk te maken van software uit Redmond (Microsoft's monopolie dus). Maar eigenlijk veel eerder, veel algemener, om ons, de burger, een keuze te geven t.o.v. een toenmalig monopolie dat alom was. Maar ook van toekomstige monopolies. Het IETF en de UNIX mensen hadden ons voorgegaan. Die Internet protocollen zijn ook met die ideologie en instelling opgesteld geweest.

Monopolies zijn slecht voor de markt, slecht voor de werkgelegenheid en vooral slecht voor innovatie en vooruitgang.

Open source heeft de zaak voorgoed veranderd.

Wat betreft Amerikaanse spionage software zal hun wereld, waarbij ze ons hun spionage malware op leggen (Windows 10), geen lang leven beschoren zijn. Nu reeds zijn er tal van tehnologieën en initiatieven gaande die het allemaal van heel korte duur zullen maken.

Enkel het netwerkeffect van iets als Facebook is moeilijk te bestrijden. Maar de componenten om zelf een Facebook alternatief te bouwen zijn wel beschikbaar. Er moet dus enkel een Europese variant opstaan die hetzelfde maar dan op Europese bodem maakt. Dan groeit dat en gaan die organisatie ook datacenters opzetten dat de boel laat schalen. Dat zal volgens mij ook gebeuren. Wat de aandeelhouders van Facebook er ook van denken. Eigenlijk heeft niemand medelijden met die aandeelhouders. En eigenlijk zou de EU best heel Facebook gewoon blokkeren in heel West-Europa (want laten we eerlijk zijn, Facebook is dé spionagetool van de VS).

Open source is geworden zoals wat de stoep en de straat in je gemeente en stad is: algemeen goed. Infrastructuur. Dat waarop we verder bouwen. Het wijzigt nog wel. Maar het gaat als concept niet meer weg.

Zo-ook encryptie algoritmes en implementaties niet. Hoeveel Camerons of welke dwaze Britse politieker er nog op de proppen komt met het trachten te verbieden van encryptie: de implementaties zijn open source. Ze kunnen niet meer weg. Ze zijn er. Voorgoed. Dus ga allemaal op uwe kop staan en spring wat in het rond: dan nog zullen die er zijn én blijven én gebruikt kunnen worden én gebruikt worden.

NSA, generaals uit het leger, politici, machthebbers, anti-democratische machtswellustige eikeltjes en alles wat daar tussen zit ten spijt. Toch is het zo, en toch blijft het er, en toch zal de burger en zullen bedrijven het kunnen gebruiken en toch zullen ze het gebruiken en toch gebruiken ze het al.

Dat is wat open source gedaan heeft. En dat is wat het zal blijven doen. Zelfs stoelenwerpende Balmer met zijn kanker analogie heeft het niet kunnen stoppen. Hoewel zijn bedrijf toen het rijkste van de planeet was. Wij bekeken die kanker analogie zelfs als een heel mooi compliment. Dat is nl. ook wat open source is. Dat is ook de hele bedoeling: een kanker die alle andere kankermolecules (nl. die van de monopolies) genadeloos zal opvreten.

Try and stop it. You can't.

Dat, zal onze technologie vrijwaren van massa-surveillance. Omdat er altijd alternatieven mee zullen kunnen gemaakt worden. Zelfs eenvoudig.
Zie boven..

Kort gezegd: Nationaal is het al te complex.
En wie gaat dat betalen? Wie gaat dan beslissen dat commerciele partijen ineens buiten spel gezet worden?
Ik vind dit vele malen nuttiger dan waar ze het normaal gesproken meestal aan zouden besteden
Je bedoeld de 25% van het eu budget, bestemd voor franse boeren?
Als developers bewust een bug inbouwen en dan proberen te verdienen door hem te rapporteren via een bug bounty is best lastig. In een normaal project zal het merendeel van de security issues gevonden worden voor een release plaats vind. De meerderheid van de bugs zullen gevonden worden door mede ontwikkelaars die je code reviewen, wat er normaal gesproken toe lijd dat de code die je aanraakt nog beter gereviewed zal worden.

In praktijk heb ik dan ook nog nooit gehoord dat dit is gebeurd. (ik werk vaar HackerOne een bug bounty/responsible disclosure platform)
Wat me HEEL erg opvalt is dat Keepass op Sourceforge wordt gehost.

En het is bekend dat Sourceforge malefide software heeft geinjecteerd in projecten die er werden gehost.

Dit vind je niet terug in het rapport.

Dus: de enige manier om een beetje zekerheid te hebben is de source te downloaden, het door te nemen en zelf te compileren.
Afaik waren het reclames in de installers, of de code van het programma zelf dan anders is, is wellicht niet zo.

Natuurlijk is het zelf controleren en compileren beter. Echter is (of was?) C++ op Windows niet heel triviaal.

Daarnaast is het "moeilijk" om software echt 100% te controleren. Zeker voor de gemiddelde gebruiker.

[Reactie gewijzigd door FuaZe op 2 december 2016 21:20]

Zeg maar gerust onmogelijk.
Sourceforge is inmiddels alweer verkocht en de nieuwe eigenaren hebben een eind gemaakt aan die dubieuze praktijken. De reputatieschade is natuurlijk van langere duur maar het is een vooruitgang.

[Reactie gewijzigd door Maurits van Baerle op 2 december 2016 23:01]

Netjes, uitbreiding met een bug bounty lijkt me een logische stap. Ik benieuwd hoe de details van het BB programma er uit gaan zien, niet alleen qua hoogte van de bounties maar ook wat voor andere voorwaarden er aan gesteld worden. Kan het ieder Open Source project zijn of zijn er specifieke categorieën die in aanmerking komen bijvoorbeeld.

[Reactie gewijzigd door Maurits van Baerle op 2 december 2016 18:07]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*