Argumenty bezpečnosti open-source

Re:Argumenty bezpečnosti open-source
« Odpověď #15 kdy: 28. 04. 2020, 23:04:15 »
@Filip Jirskák, @Ondrej Nemecek

Já si myslím, že se v této diskusi promítá zažitý stereotyp, že komerční firmy jsou nepoctivé a snaží se vše jen ošulit, zatímco open source je poctivý a programátoři do toho jsou s čistým srdcem. To samozřejmě neplatí. U OSS z části funguje veřejná kontrola (minimálně jako prostředek samoregulace - programátoři se víc stydí "prasit"), u komerčního software zase hrozí značné finanční škody po ztrátě reputace. Osobně si myslím, že zákony ekonomiky jsou vypočitatelnější a motivace komerčních firem je hlubší. Ano, komerční firmy musí volit priority, něco opraví nebo zlepší dřív, něco později - jak vyžadují jejich zájmy (= zájmy zákazníků). OSS vývojáři to musejí dělat taky, taky se nemohou rozkrájet.


Re:Argumenty bezpečnosti open-source
« Odpověď #16 kdy: 29. 04. 2020, 07:45:14 »
@Filip Jirskák, @Ondrej Nemecek

Já si myslím, že se v této diskusi promítá zažitý stereotyp, že komerční firmy jsou nepoctivé a snaží se vše jen ošulit, zatímco open source je poctivý a programátoři do toho jsou s čistým srdcem. To samozřejmě neplatí. U OSS z části funguje veřejná kontrola (minimálně jako prostředek samoregulace - programátoři se víc stydí "prasit"), u komerčního software zase hrozí značné finanční škody po ztrátě reputace. Osobně si myslím, že zákony ekonomiky jsou vypočitatelnější a motivace komerčních firem je hlubší. Ano, komerční firmy musí volit priority, něco opraví nebo zlepší dřív, něco později - jak vyžadují jejich zájmy (= zájmy zákazníků). OSS vývojáři to musejí dělat taky, taky se nemohou rozkrájet.
Klasika. Začnete polemikou s něčím, co jste si sám vymyslel (stereotyp, že komerční firmy jsou nepoctivé), pokračujete příkladem z jiného světa (open source a komerční software jsou protiklady), pak zjevným nesmyslem (motivace komerčních firem jsou hlubší), a skončíte tím, že je to vlastně stejné (komerční firmy stejně jako OSS vývojáři musí volit priority).

Pokud by vás zajímalo, jak to funguje v našem světě, zjistěte si, jestli takové firmy jako Microsoft, Google, RedHat (IBM), Amazon, Oracle, Apple náhodou nedělají na nějakém open source softwaru. A jaký je podíl tohoto open source, za kterým stojí komerční firmy, a jaký podíl na používaném open source mají ty hobby projekty, které si někdo programuje po večerech, které si pod open source představujete vy. Nebo v tomhle případě značné finanční škody po ztrátě reputace nehrozí?

Ad peníze jako hlubší motivace – neslyšel jste někdy frázi „dělá to jenom pro peníze“? Obecně peníze nebývají hodnocené jako nějaká hluboká motivace. A jaká je motivace vývojářů open source? Buď také peníze – což je stejně „hluboká“ motivace, jako u komerčního softwaru. Nebo prostě daný software sami používají, dělají ho pro sebe a při té příležitosti ho zveřejní. Dělat něco pro své potřeby mi připadá jako hlubší motivace, než dělat to jen pro peníze. A nebo to dělají prostě proto, že si myslí, že je to správné, že je to způsob, jak mohou ostatním prospět. To je podle mne daleko hlubší motivace, než peníze.

Re:Argumenty bezpečnosti open-source
« Odpověď #17 kdy: 29. 04. 2020, 08:38:56 »
... u komerčního softwaru, protože to tam dělají placení vývojáři.
Tak je tomu u kazdeho pouzivanejsiho opensource taky. Je pravda, ze se tady dost protinaji ruzne pohledy (open/closed, komercni atd)
Děkuji za možnost editace příspěvku.

Re:Argumenty bezpečnosti open-source
« Odpověď #18 kdy: 29. 04. 2020, 20:00:28 »
Ad peníze jako hlubší motivace – neslyšel jste někdy frázi „dělá to jenom pro peníze“? Obecně peníze nebývají hodnocené jako nějaká hluboká motivace.

Penize znamenaji obzivu, preziti... To vam fakt prijde jako plytka motivace???

Re:Argumenty bezpečnosti open-source
« Odpověď #19 kdy: 29. 04. 2020, 22:08:59 »
Penize znamenaji obzivu, preziti...
Některé zkratky už zkracují tak moc, že jsou jen nepravdivé. Máte pocit, že kdyby měl Bill Gates méně peněz, nepřežil by? V naší kulturní oblasti jen velmi malá část našeho příjmu znamená opravdu přežití. I velmi altruistický OSS vývojář bude chtít mít mnohem větší příjem, než aby jen přežil. Mimo jiné takový, který mu umožní mít počítač, připojení k internetu a programovat – a to věru nejsou nezbytnosti nutné k přežití.


Re:Argumenty bezpečnosti open-source
« Odpověď #20 kdy: 29. 04. 2020, 23:19:07 »
neslyšel jste někdy frázi „dělá to jenom pro peníze“? Obecně peníze nebývají hodnocené jako nějaká hluboká motivace.

Tak bývají peníze hodnoceny těmi, kteří je neumějí vydělat. Neuslyšíte ji od toho, kdo se na peníze nadře, ani od toho, kdo žije v poměrech, kde se vydělat ani nedají (země třetího světa, diktatury, ...). Stejné klišé, jako představa, že princ bude nejšťastnější s děvečkou z lidu. Ekonomika má jeden dar: nejjednodušším způsobem vyjadřuje potřeby (zájmy) toho, kdo kupuje. Dokud nedojde na otázku peněz, každý by chtěl mít nejvybavenější, nejspolehlivější, nejrychlejší a nejbezpečnější systém. Ve chvíli, kdy má kupující omezené prostředky, musí volit kompromis. Této volbě umějí naslouchat komerční firmy a umějí se poměrně rychle přizpůsobovat i měnícím se potřebám. Proto je velká hromada open source úspěšná přibližně jako utopie Karla Marxe a Bedřicha Engelse v praxi. Úspěšné open source projekty jsou často leadovány komerčními firmami, přestože / právě protože se jejich podpora řídí zákony ekonomiky. Díky tomu, že peníze tečou ascendentně od spotřebitele řetězcem dodavatelů až k výrobci (vendorovi), považuji to za opravdu hlubokou motivaci.

Re:Argumenty bezpečnosti open-source
« Odpověď #21 kdy: 30. 04. 2020, 14:05:39 »
Ahoj, v enterprise prostředí se často setkávám s názorem, že open-source software je zabugovaný a je nutné ho záplatovat a hlídat "3x více"  než proprietární produkty od MS a dalších. Často i od lidí, kteří za tím nemají svůj obchodní zájem.

Jaký používáte argument pro vyvrácení tohoto bludu? Argument, že open-source používá spousta firem mi přijde takový plytký.


Asi ideálne je ísť cez Coverity  Scan reporty, lebo tam mu viete pochlebovať  vetou "V minulosti to tak pri veľkých projektoch bolo, ale už pomerne dávno je to inak"


450M lines of code say large open source and small closed source software projects are worst quality
John Koetsier@johnkoetsier   May 9, 2013

Open source projects, Coverity says, tend to have .69 bugs per thousand lines of code, virtually the same as proprietary software, which tends to have .68 errors per thousand lines. But large closed-source projects — over one million lines of code — tend to have 33 percent fewer errors than small closed-source projects, with .66 errors over each thousand lines of larger projects compared to .98 in smaller projects. And small open source projects have a massive 70 percent fewer errors than large open source software, with only .44 defects compared to .75.
https://venturebeat.com/2013/05/09/450-million-lines-of-code-say-large-open-source-and-small-closed-source-software-projects-are-worst-quality/




Coverity Scan Report Finds Open Source Software Quality Outpaces Proprietary Code for the First Time
Coverity Opens Up Access to Free Development Testing Service, Allows Anyone Interested in Open Source Software Quality to View Projects

MOUNTAIN VIEW, Calif., April 15, 2014
Coverity's analysis found an average defect density of .59 for open source C/C++ projects that leverage the Scan service, compared to an average defect density of .72 for proprietary C/C++ code developed for enterprise projects. In 2013, code quality of open source projects using the Scan service surpassed that of proprietary projects at all code base sizes, which further highlights the open source community's strong commitment to development testing.
https://news.synopsys.com/2014-04-15-Coverity-Scan-Report-Finds-Open-Source-Software-Quality-Outpaces-Proprietary-Code-for-the-First-Time

Re:Argumenty bezpečnosti open-source
« Odpověď #22 kdy: 30. 04. 2020, 16:15:19 »
Citace
open-source software je zabugovaný

Toto nemá cenu nějak obecně vyvracet, sousta open-source software je zabugovaná. Má ale cenu stanovit metodiku, jak se ta zabugovanost předem vyhodnotí. Namátkou:

  • jak dlouho je projekt vyvíjen
  • jaký má release cyklus
  • kde vidím chyby opravené v release
  • jaká je features roadmap
  • kolik issues otevřených a kolik zavřených má projekt, jakého jsou charakteru, jak rychle se issues  řeší, nejstarší a nejnovější issue
  • kdo za projektem stojí? jakou má uživatelskou a vývojářskou základnu? jaký má obchodní model? mění se licenční politika? existuje placená podpora? lze kontaktovat někoho, kdo projekt používá a zjistit od něj zkušenosti?
  • atd...

Argumentovat lze hlavně kvalitními open-source projekty. Třeba namátkou u linuxového jádra nebo Postgres lze kvality opravdu těžko rozporovat. Takhle lze najít 10 nebo 20 projektů podobného rozsahu a kvalit a tím úspěšně popřete škarohlídy.

K tomu přidejte 10 nebo 20 živých nekvalitních projektů  a ukažte, že existuje i problematický opensource. Tím se dostanete sám do reality a nikdo nemůže nic namítat.

Re:Argumenty bezpečnosti open-source
« Odpověď #23 kdy: 30. 04. 2020, 18:41:16 »
No pokud vám opensource příjde zabugovaný, příjde mi, že jste nikdy nedělali s proprietárním softwarem. Z mých zkušeností obsahuje násobně více chyb ke kterým se dodavatel nezná a nebo je odmítá opravit. Přinejlepším vám je za pár let možná dá do kupy.
Bezpečností stránka je většinou naprostou neznámou a z mého reverzního engineeringu to kolikrát vypadá vyloženě děsivě. Chyby bezpečnostního charakteru se řeší obvykle až když se to ve velkém zneužívá.

Mě osobně už nic proprietárního nesmí do domu, nehodlám to donekonečna naslepo ladit abych zjistil, že to je rozbité bez možnosti si to sám opravit. Sem tam něco beru na milost  :)
„Řemeslo se naučí každý. Umění nikdo.“
„Jednoduchost je nejvyšší úroveň sofistikovanosti.“
- Leonardo Da Vinci

Re:Argumenty bezpečnosti open-source
« Odpověď #24 kdy: 30. 04. 2020, 19:38:11 »
Penize znamenaji obzivu, preziti...

záleží, čemu říkáte peníze

Citace
Paper is poverty...it is the ghost of money, and not money itself.
- Thomas Jefferson


Re:Argumenty bezpečnosti open-source
« Odpověď #25 kdy: 01. 05. 2020, 12:51:57 »
Penize znamenaji obzivu, preziti...
záleží, čemu říkáte peníze

Á, to bude nějaké hluboké moudro, to si rád nechám vysvětlit...

Re:Argumenty bezpečnosti open-source
« Odpověď #26 kdy: 02. 05. 2020, 21:13:23 »