Bill Gates: delen broncode kan Windows veiliger maken

Van 23 februari tot en met 27 februari vindt in San Francisco de RSA Conference 2004 plaats. Een van de sprekers tijdens deze conferentie is Bill Gates en afgelopen dinsdag had hij de eer om de 10.000 bezoekers, vooral veiligheidsexperts, toe te spreken. Gates legde uit dat er de afgelopen maanden veel is veranderd aan Windows en andere Microsoft-software en, belangrijker, binnen Microsoft. Trustworthy Computing begint zijn vruchten af te werpen en dat is voor de gebruikers vooral te merken aan het feit dat Windows veiliger wordt doordat het aantal lekken afneemt. Hij maakte tegelijk wel duidelijk dat beveiliging verder gaat dan alleen het dichten van lekken. Uiteindelijk is het namelijk de bedoeling dat de architectuur van de software verbetert.

Om dit punt verder uit te werken legde Gates uit aan welke drie punten goede software moet voldoen: secure by design (goed ontworpen software), secure by default (veilige instellingen) en secure deployment (goede audits en opleidingen). In het kader van dit laatste punt noemde Gates ook de voordelen van het delen van de Windows-broncode met anderen via shared-sourceprogramma's. Deze opmerking kan echter verkeerd uitgelegd worden. Microsoft is namelijk niet ineens voorstander geworden van het open-sourcemodel waarbij iedereen alle broncode kan inzien en aanpassen. Gates vindt echter wel dat het delen van de broncode met geselecteerde partners voordelen oplevert waardoor software beter en veiliger kan worden.

Reacties (28)

a.prinsen 25 februari 2004 21:19

Het voordeel van deze uitspraak is wel dat het toegeeft dat je broncode door meerdere instanties te laten bekijken veiligere coding geeft.

Opensource wordt door veel verschillende instanties bekeken. Het voordeel hiervan is dat je relatief veel veiligere coding krijgt. Het nadeel van het public geven van de code is dat iedereen ook naar lekken kan gaan zoeken die zich eventueel toch in de "relatieve veiligere" code bevinden. Het mes snijd immers aan 2 kanten!

Verwijderd @a.prinsen • 25 februari 2004 22:01

Ook zonder openbare source code kan je naar lekken zoeken.

Maar: Open source maakt het wel makkelijker, en heeft dus alleen nut als mensen ook daadwerkelijk kunnen meehelpen, door bijvoorbeeld patches in te sturen.

Alleen je source code openbaar maken werkt averechts.

Verwijderd @a.prinsen • 25 februari 2004 23:42

Het hangt er natuurlijk sterk vanaf wie er naar de sourcecode kijkt; er is nogal een verschil tussen een hobby-programeur met 2 jaar c++ ervaring en een software architect, die al 25 jaar over encryptie schrijft.

Verwijderd 25 februari 2004 22:52

Om dit punt verder uit te werken legde Gates uit aan welke drie punten goede software moet voldoen: secure by design (goed ontworpen software), secure by default (veilige instellingen) en secure deployment (goede audits en opleidingen).

Hij had het zo gekopieerd kunnen hebben uit een Openbsd security tutorial.

voodooless 25 februari 2004 21:29

Trustworthy Computing begint zijn vruchten af te werpen en dat is voor de gebruikers vooral te merken aan het feit dat Windows veiliger wordt doordat het aantal lekken afneemt

Huidige windows producten bevatten bij mijn weten geen TCPA (of hoe ze het nu ook noemen) crap. Dus zeggen dat het zijn vruchten afwerpt vind ik wel erg ver gezocht.

Verwijderd @voodooless • 26 februari 2004 01:24

Trustworthy Computing is ook geen onderdeel van TCPA, maar andersom. TCPA/Palladium wordt een onderdeel van Trustworthy Computing. Dus TC kan zeker vruchten afwerpen zonder de TCPA -"module"

Verwijderd 25 februari 2004 21:42

Voor zover ik weet heeft Thrustworthy Computing niets met TCPA (of hoe dat ook mag heten) of dergelijke van doen. Met Thrustworthy Computing bedoelt ons aller geliefde Bill alleen maar dat er binnen MS MEER aandacht besteedt moet worden aan de security binnen alle MS producten bij de ontwikkeling hiervan. Security was altijd een onderbelicht deel in de MS ontwikkel filosofie, en daar wil Bill Gates met Thrustworthy Computing nu verandering in aanbrengen.
Of dat lukt is een ander verhaal, maar Thrustworthy Computing heeft op zich niets van doen met DRM of TCPA of what ever dan ook, ook al zal er in nieuwere versies van Windows best wel gebruik gemaakt gaan worden van features van TCPA/DRM etc.
Zodat gebruikers weer??? vertrouwen???? (Thrustworthy) krijgen in MS producten........

voodooless @Verwijderd • 25 februari 2004 22:44

ehh... om je maar ff uit je navieve droom te helpen:

TCPA: Trustworthy Computing Platform Aliance

Het heeft dus ALLES met Trustworthy Computing te maken!

http://www.trustedcomputing.org/

Dat de naam TCPA niet meer genoemd wordt door MS neemt niet weg dat hun doellen hetzelfde zijn gebleven!

Verwijderd 25 februari 2004 22:51

Thrustworthy Computing is een term die Bill Gates gebruikt heeft om binnen zijn MS de werknemers er op te wijzen dat er bij het ontwikkelen van software in de eerste plaats aandacht besteed moet worden aan security.
Misschien doet MS wel mee aan het TCPA maar in dit geval bedoellt Bill toch echt de manier waarop er nu binnen MS gedacht en ontwikkeld moet worden. Zonder TCPA. Dat toevallig TC en TCPA allebei voor Thrustworthy Computing staan, betekent niet dat er in beide gevallen het zelfde bedoelt wordt.
Maar het ging meer om de opmerking over crap. TC is een manier van denken, een andere manier van ontwikkelen, waarvan je nu zeker al wel - weliswaar kleine - vruchtjes kan plukken, ook in Windows XP, W2K3, etc.

voodooless @Verwijderd • 25 februari 2004 23:50

Geloof je het zelf

Dat mag je dan een precies gaan uitleggen, wat ik die niet wat de woorden TC hiermee te maken hebben...

Nee. Hij wil op deze manier gewoon weer een beetje TCPA onder de aandacht brengen en de aanwezige "veiligheidsexperts" laten zien dat TC wel degelijk but heeft en handig kan zijn. Kom op zeg. Iedere debiel doorziet deze onzin direct. Het is gewoon een beetje marketingpraat om de naam TCPA weer een beetje goed te praten.

Verwijderd 25 februari 2004 22:28

En die 10.000 mensen waren natuurlijk heel blij met Bill.
Hij heeft veel mensen van die groep genoeg werk gegeven voor hun baan.
Maar die boze plannen die hij nu heeft. Dan kan over een paar jaar minstens de helft wel een andere baan zoeken.

dion_b Moderator Harde Waren 26 februari 2004 02:49

De cynicus in me ziet een duidelijk oorzakelijk verband tussen deze lofzang op de voordelen van publiek zichtbare source code en het feit dat een maand terug een flinke brok source van NT en 2K zonder tussenkomst van MS online is beland.

Maar goed, wat dan ook de motivatie hierachter, datgene wat hij zegt staat als een huis, mits consequent doorgevoerd. De vraag is echter of dat gaat gebeuren. Als je een deel van de source ziet kun je theoretisch nagaan of er bugs en lekken in dat deel bevinden, maar je kunt nooit zeker weten of er niet interacties met andere delen van de code zijn die riskant zijn zonder ook die andere code te zien. Het nut van gedeeltelijke openbaring van source is dus beperkt.

Maar eigenlijk is er een breder principieel punt- naarmate de wereld steeds meer online doet is een OS niet langer louter een manier om toegang te krijgen tot een apparaat, maar neemt het steeds meer trekken aan van een overheidsdienst. Daar is niets mis mee, sterker nog, het is een natuurlijke evolutie. Maar met overheid komt ook de eis tot openheid. Er is (en dan met name in de VS) een schril contrast tussen de wetten die openheid van openbaar bestuur garanderen - gegevens zijn in beginsel openbaar en de bewijslast dat ze dat niet zijn ligt bij de overheid, je kunt fameus zelfs opvragen wat de president voor ontbijt had - en de wetten die de gesloten aard van programmata bepalen, denk aan DMCA.

Het zit eraan te komen dat overheden als standaard toegang tot alle source van hun systemen willen hebben. Dan is het maar een kleine stap dat burgers diezelfde informatie van de overheden kunnen eisen.

Verwijderd 25 februari 2004 21:25

"Dat is vooral te merken aan dat het aantal lekken afneemt"

Pardon? Afneemt van hoeveel per maand naar hoeveel per maand? Dit lijkt een erg loze opmerking compleet ongerelateerd aan realiteit.. zoiets als "Dankzij de regering van Balkenende is het natuurbehoud de afgelopen jaren er erg op vooruitgegaan"

Is er *IETS* van onderlegging.. bijhouden van het aantal lekken per maand ofzo? Of dit gewoon een heel erg loze kreet.?

rsmits @Verwijderd • 26 februari 2004 09:32

Afneemt van hoeveel per maand naar hoeveel per maand?

Niet alle lekken zijn al bekend lijkt mij, dus dat kunnen ze je nooit vertellen. Ze kunnen hooguit zeggen hoeveel lekken ze in de maand hebben verholpen. En dat is te tellen door hoevaak je een windows update moet uitvoeren.

FireWood @Verwijderd • 26 februari 2004 19:24

Tuurlijk nemen ze af.
Als er één miljoen gaten in een software programma zitten. Je haalt er 5 uit dan heb je nog maar 999.995 fouten erin zitten. Zie je minder fouten nog over.

Dit is natuurlijk een beetje cru, maar oké.

Verwijderd @memphis • 26 februari 2004 01:23

dezelfde fouden

Fouden?

Sommige mensen weten het verwisselen en misbruiken van -D en -T tot een ware kunst te verheffen.

Ontopic:
Er zullen ALTIJD fouten uit 2k en XP in Longhorn terechtkomen. Als zeker ervan wilt zijn dat dat NIET gebeurt, dan zul je ALLE 2k/XP code moeten weggooien en helemaal opnieuw moeten beginnen. Dat wil MS zéker niet. En zelfs áls je opnieuw begint, kun je er zeker van zijn dat je nieuwe software niet bugvrij wordt...

solatis 25 februari 2004 21:26

Uiteindelijk is het namelijk de bedoeling dat de architectuur van de software verbeterd.

Typo: verbetert

zeekoe @solatis • 25 februari 2004 22:01

Frontpage algemeen

die schijnt voor typo's enzo te zijn

El Chaoto 25 februari 2004 21:37

Microsoft is namelijk niet ineens voorstander geworden van het open-sourcemodel waarbij iedereen alle broncode kan inzien en aanpassen

dit zal wel te maken hebben met het feit dat ze hun monopolypositie hebben en dat ze de Europese Commissie tegemoet willen komen en daarmee de hoge boetes willen ontlopen

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (28)

Sorteer op:

Weergave: