'Hoewel open source goedkoop lijkt en een soort gelijkheidsideaal en standaardisatie uitdraagt, ligt de broncode op straat en daarmee ook de kwaliteit, robuustheid en beveiliging en dus privacy', brabbelde een niet nader te noemen vertegenwoordiger in de software-industrie onlangs in Computable. Laten we er even van uit gaan dat dit correct geciteerd is en hij deze kletskoek zelf heeft gebakken.
Ik zal u de demagogie toelichten. Een zin die begint met 'Hoewel appels goedkoper lijken dan peren' zal uiteindelijk beweren dat appels duurder of slechter zijn. De vertegenwoordiger probeert hier dus te suggereren dat open source gevaarlijk is voor de privacy. 'Nee, gevaren voor de privacy willen we niet!' hoor ik u al denken. Maar wordt die bewering ook hard gemaakt?
'De broncode ligt op straat en daarmee ook de kwaliteit.' Alles wat op straat ligt is blijkbaar slecht. Maar het lijkt me juist goed als de kwaliteit zichtbaar wordt voor wie dat wil weten. Als je zin hebt in een hamburger wil je toch ook weten waar de beste ingrediënten worden gebruikt, en het schoonste wordt gewerkt? In het geval van open source kunnen we dan zelf kijken of de software wel een beetje onderhoudbaar is, of dat er een prutser aan het programmeren is geweest.
Als de broncode openbaar is, is daarmee dan de beveiliging in gevaar? Het woord code in broncode betekent alleen maar onbegrijpelijk, in tegenstelling tot het woord code in pincode. Als de versleutelingstechniek bekend is, hoeven de sleutels dat nog niet te zijn. Trouwens, in de beveiligingswereld leeft de overtuiging dat openbare beveiligingsmechanismen juist veiliger zijn omdat iedereen dan kan zien dat er niet bewust of onbewust lekken in zijn gemaakt.
En al zou de beveiliging ‘in gevaar zijn' doordat we de broncode kennen, is daarmee dan de privacy in gevaar? Ik denk toch niet dat dat serieus speelt bij de meeste populaire open source software zoals Open Office, Firefox en contentmanagementsystemen.
Kortom, kletskoek!
@Berry
Tuurlijk, maar support is wat anders dan de maker zijn van iets. Je kunt ze aanspreken op hun support, maar niet op problemen in de software zelf of de fequentie van patches.
Ik zeg absoluut niet dat open source niet geschikt zou kunnen zijn voor bedrijven, maar ik ben het eens met degene hierboven dat het “kletskoek”-argument erg zwart-wit wordt gesteld. Er zijn wat mij betreft wel degelijk argumenten aan te dragen om, ook voor veiligheidsredenen, te kiezen voor closed software.
@Rin: Kom maar met de argumenten!
Aanspreken op support en frequentie van patches horen daar in elk geval niet bij, zie de leveringsvoorwaarden die 99 van de 100 keer de leverancier alle vrijheid geven en vooral geen verantwoordelijkheid. Oracle is bv. bijzonder spaarzaam met het geven van informatie over gevonden bugs, je kunt moeilijk inschatten of deze gevolgen hebben (gehad) voor jouw systeem. Oracle heeft er ook een handje van om bugs nogal lang open te laten staan, zie de vele artikelen en klachten hierover. Al lijken ze hier van te leren, vandaag is er weer een Critical Patch Update.
Uiteraard is dit column zwart-wit, daar is het een column voor, maar jouw reactie is van dezelfde kletskoek gesneden als waar de column over gaat 😉
@Rin,
Wij spreken IBM aan op de kwaliteit van de linux machines (lees, bugs, fixes, reguliere patches). Zij regelen het zelf of nemen dit op met Novell en/of de linux community, maar IBM blijft verantwoordelijk. Ongeacht of IBM nu wel of niet de maker van de software is. Als bijvoorbeeld een kernel fix niet wordt opgenomen in de mainstream kernel dan blijft de leverancier (IBM dus) verantwoordelijk voor die aanpassing voor zolang als de support op dat level geldig is/blijft.
Natuurlijk is het niet zo zwart-wit. Er zijn zeker argumenten voor closed source, net zo goed als voor open source. Dat gaat dan vooral om beslissingen mbt functionaliteit van een bepaald product. Veiligheidsredenen vallen m.i. niet per definitie in het voordeel uit van closed. Bugs vinden is niet zo moeilijk, zie het gemak waarmee vulnerabilities worden uitgebuit in welke software dan ook. Om dan te zeggen dat je veiliger bent met closed software is denk ik de ogen sluiten voor de werkelijkheid. Closed source is net zo (on)veilig als open source. Alleen bij OSS zien we welke bugs erin zitten, bij closed source wordt dat angstvallig stilgehouden.
Hier nog leuk verhaal over patchbeleid:
http://www.krebsonsecurity.com/2010/01/firm-to-release-database-web-server-0days/
Wel opvallend dat het vooral de closed source leveranciers zijn die hier worden genoemd.