andy_m4 schrieb:
Das ist richtig.
Man muss nur aufpassen, was man daraus folgert. Denn Dein Einwurf suggeriert so ein bisschen, das Open Source deshalb unsicherer wäre, was so natürlich nicht stimmt.
Das ist deine Interpretation.
Ich will damit nur sagen, dass OpenSource und Codeeinsicht nicht bedeutet, dass dadurch irgendwo mehr Sicherheit bei rum kommt. Das haben zur genüge Beispiele der Vergangenheit gezeigt. Es besteht auch quasi kein Unterschied, ob der Code nun einsehbar ist und ne Lücke hat oder nicht einsehbar ist und ne Lücke hat - weil damit die Lücke gesehen wird, muss man halt in den Code gucken -> was viel zu häufig eben nicht passiert.
Closed Sourcen kann das freilich nicht besser machen. OpenSource macht es Leuten, die gezielt nach Angriffsvektoren suchen, allerdings einfacher diese zu finden. Gilt aber klar auch für die, die gezielt nach Lücken suchen um sie zu reporten
(bei Code Audits bspw.)
Der Rest verschwimmt zwischen den Extremen. Den Teil zur "Blöße" halte ich allerdings für Käse. Entwickler coden doch nicht des Ansehens nach - die Coden weil sie Spaß dran haben bzw. auch, weil es eben teils ihr Job ist. Zumindest kenne ich keinen Software Entwickler, der irgendwo was wegen "Blöße" macht oder nicht macht.
Mieser Code ist meiner Ansicht relativ - mies wird es im Zusammenhang ja deswegen, weil wer aufdeckt, dass etwas in dem Fall insecure ist/war. Deswegen ist der Code als solches aber nicht zwingend mies. Fehler passieren halt. Da sitzen idR nur Menschen.
Mit miesem Code verbinde ich andere Sachen als Sicherheitslücken. Bestenfalls noch, Code, der wissentlich und absichtlich mit Lücken verpfuscht wurde. Da ich selbst (aktuell aber weniger aktiv aus Zeitgründen) in diesem Umfeld unterwegs bin - ich kann von mir selbst sagen, dass Dinge halt manchmal einfach unter Radar laufen. Man ist im Tunnel und hat Fokus auf ein Problem und sieht manchmal einfach den Wald vor lauter Bäumen nicht. Das geht sicher vielen so. Gerade wenn man den eigenen Code Wochen oder Monate Später mal ansieht - da fallen selbst Sachen auf, wo man sich denkt, häää wieso hab ich das jetzt gerade so gemacht, ist doch totaler Käse!?
Meiner Ansicht nach ist das eins der größten "Probleme" im OpenSource Umfeld. Viele Köche und so. Meiner Erfahrung nach passiert sowas auf der "privaten Hobby" ebene viel eher als im Business Umfeld, wo am Ende zumindest meiner Erfahrung nach noch andere Kollegen über den Code sehen - vllt nicht 100%, aber zumindest im groben. Ich will bspw. gar nicht wissen wie viele OpenSource Projekte auf Github und Co, einfach die Codeänderungen mehr oder weniger Blindlinks durchwinken, weil irgendwo irgendwer nen Bug gefixt hat, der den Code bzw. das große ganze gar nicht kennt und mit Änderungen potentiell irgendwo anders ein Tor aufreißt.
Wie gesagt, nicht falsch verstehen. OpenSource kann da schon viele Vorteile haben und deswegen keineswegs schlecht - oder gar schlechter als Closed Source.
![[wege]mini](https://pics.computerbase.de/forum/avatars/m/778/778975.jpg?1575883542){kind=avatar}
