Heartbleed: Is de open source ontwikkelingsmodel gebroken?

ed Bott

Steven J. Vaughan-Nichols

De moderator heeft een definitieve uitspraak gedaan.

Ed Bott: Ik hou van Open Source software. Ik vind het moeilijk om een ​​wereld voorstellen zonder Apache, WordPress, en Firefox, om drie eenvoudige voorbeelden te noemen.

B ut de wereld is geen betere plek als gevolg van een verschrikkelijke lek in een andere open source-pakket, het op grote schaal gebruikt OpenSSL bibliotheek die bestond op webservers voor meer dan een jaar. De; heartbleed fout; blootgesteld zowat iedereen die ooit het Internet heeft gebruikt om potentieel katastrofisch verliezen.

Dus wat is er gebeurd met de “vele oogbollen” die moesten die code inspecteren en vind de bugs? Helaas, er waren niet genoeg geld om te betalen voor die oogballen. Zelfs nadat de fout werd ontdekt en donaties verhoogd, er is nog steeds niet genoeg geld, om de ontwikkeling naar behoren kan ondersteunen. En dat verhaal, niet genoeg steun en niet genoeg ervaren ontwikkelaars, geldt voor vele, vele projecten.

Er is niets magisch over Open Source, niets kwaad over closed source. Waar het om gaat is dat het project worden uitgevoerd door een organisatie die de middelen hebben om te schrijven, te testen, schip, implementeren en code goed te onderhouden heeft. Het idee dat Open Source project schaal ook kan worden gebruikt als deze niet juist onderkant heeft moet eindigen.

Steven J. Vaughan-Nichols: Serieus? Dat is de vraag? Kom op!

Laat er geen misverstand over bestaan. Heartbleed was, open-source slechtste uur. Maar het was geen defect van open source zodanig. Het was een gebrek aan open-source ontwikkeling van methoden daadwerkelijk te beoefenen.

Elke ontwikkelaar maakt het programmeren blunders. Een van de grote redenen waarom de open source werkt is de wet Linus te citeren, zoals verkondigd door Eric S. Raymond, in zijn essay ‘De kathedraal en de Bazzar “is dat” Gezien genoeg oogbollen, alle bugs zijn ondiep.

Het probleem met OpenSSL dat de heartbleed blunder binnen te laten, is dat niemand echt gekeken naar de code. Heck, zo lijkt het, zelfs niet de NSA keek naar de code

Kortom, het recept is nog steeds prima, maar alleen als de koks daadwerkelijk volgen! Natuurlijk zijn er redenen waarom mensen doen dit niet. Een van de grootste lijkt te zijn alleen betalende personen te zoeken bugs. Om dat probleem op te lossen de Core Infrastructure Initiative, samengesteld uit top tech bedrijven, waaronder Amazon, IBM, Intel en VMware, wordt nu sponsoren belangrijk, maar ondergefinancierd, open-source projecten.

Met contant geld in de hand, en de mensen vasthouden aan de ware open-source methode, zie ik niet een herhaling van heartbleed coming up anytime soon.

Deze week hebben we twee van onze top debaters, Ed Bott en Steven J. Vaughan-Nichols, klaar om de radioactieve neerslag na de heartbleed veiligheidslek debatteren. Wees klaar voor wat actie.

En ik hoop echt dat je bent te Steven.

Welkom op de Grote Debat

Coverity vindt open source software kwaliteit beter dan de eigen code; Mistaken heartbleed clean-up inspanningen per ongeluk het verlaten van duizenden servers kwetsbaar; In kielzog heartbleed’s, laten we niet vergeten veel open-source apps kwetsbaar voor aanvallen blijven; Internet vertraagd door heartbleed identiteitscrisis; Veel sites hergebruik van heartbleed-gecompromitteerde private keys; heartbleed: Open source ergste uur

Wolk, Canonical en Microsoft werken samen aan containers, Grote Debat; Do we echt hebben het recht om te worden vergeten; Grote Debat; dappere nieuwe strategie Satya Nadella’s: Kan Microsoft uit te voeren; Grote Debat; In IBM en Apple’s kielzog, heeft Android verloren? haar enterprise kans?

Stem op mij.

Laten we beginnen eenvoudig genoeg. Kon heartbleed kunnen worden voorkomen? Ja of nee, en waarom?

Natuurlijk kan dit fout zijn voorkomen. De auteur van dat deel van de code geeft toe dat hij een rookie codering fout gemaakt: “Ik miste het valideren van een variabele met een lengte”, zei hij En de enige persoon die de code beoordeeld miste het ook..

Maar dat is wat er gebeurt als je niet een formeel security review proces hebben. Dit is een vereiste van moderne software code speciaal voor gebruik in de infrastructuur van het internet. En dat niveau van proces vereist een eigenaar en een managementstructuur. Dat betekent niet dat een economisch model, maar het vereist een niveau van financiële en personele inzet die er niet in dit voorbeeld was.

Geplaatst door Zack Whittaker

Ik ben klaar.

Het is zeker had kunnen worden voorkomen en het is zeker had moeten worden voorkomen;. Het echte probleem was de blinde geloof dat honderdduizenden programmeurs, website ontwikkelaars en Web-beheerders in OpenSSL zetten. Als iemand met een programmering aanwijzing gewoon had gekeken naar de code zouden ze het hebben gezien. Vervolgens kon het hebben gemeld en wat bleek in een enorme security fiasco zou een minderjarige, kortstondige verlegenheid zijn geweest;. Open source werkt alleen als mensen daadwerkelijk kijken naar de code. Als je ooit ernstige parachutespringen gedaan hebt weet je dat je je parachute moet controleren voordat je op het vliegtuig. Al jaren, niemand gecontroleerd OpenSSL en zo een duidelijke fout verborg in het zicht voor de komende jaren. De echt geweldig ding over heartbleed is dat het lijkt weinig schade te hebben veroorzaakt zoals zij heeft gedaan. Door rechten, moeten miljoenen “veilige” Websites die een mislukking hebben geleden als fatale als parachute nota opening op de weg naar beneden naar de koude, harde grond.

Welke soorten software, indien aanwezig, moet open-source per definitie? Leg uit waarom.

Er zijn prachtige open-source programma’s. Er zijn prachtige closed-source programma’s. Er zijn ook middelmatig voorbeelden van elke groep. De mensen die de code te schrijven en de mensen die de processen die het eindproduct stof meer dan de vraag of de code is beschikbaar voor inzage van het publiek te creëren beheren.

ed Bott

Uiteindelijk komt het neer op een kwestie van vertrouwen. Sommige mensen zullen de mogelijkheid hebben om code te inspecteren willen. Anderen geloven niet dat is belangrijk. Er is geen bewijs dat beide groepen goed of fout is.

Elke soort software kan en moet, open source zijn. Sterker nog, ik kan niet denken van alle programma’s die niet zijn open source deze dagen;. Oh zeker, Microsoft niet open source Windows en Oracle niet open source Oracle Database, maar we hebben tientallen Linux-desktops zoals; Linux Mint, en, Ubuntu, en databases, waaronder MySQL en MariaDB;. Sterker nog, als je eenmaal weg van de desktop te krijgen, het wordt moeilijk om populaire programma’s die niet zijn open source te vinden. De top Web server;? Apache,. Supercomputers; overweldigend run Linux. De top 25 websites in de wereld, door graaf Alexa’s, draaien allemaal Linux;. Hoe zit het met kantoorsoftware zeg je? Hallo te zeggen OpenOffice en LibreOffice. Spellen? Valve CEO Gabe Newell in beweging is zijn bedrijf geheel;-Steam based spel portfolio naar Linux. Mobiele toestellen? Je wist Android regels van de smartphone markt toch? Heck, Android-gebaseerde tablets zijn nu, zelfs populairder dan iPads.

Is open-source-software inherent veiliger of minder veilig dan hun ‘closed-source’ neven?

U kunt een interessante theoretische argument namens beide benaderingen te maken. Het publiceren van de broncode maakt het makkelijker voor de good guys en bad guys om fouten te ontdekken. Closed source programma’s vereisen zou aanvallers zijn, met een witte of zwarte hoeden, de output van het programma te testen.

De grotere probleem is, zelfs als open source software is vastgesteld, kan het een lange, lange tijd duren voordat de oplossingen om het te maken in de installed base. Een studie wees uit dat meer dan 98 procent van de open source libraries met kwetsbaarheden niet tijdig zijn bijgewerkt, zelfs nadat deze gebreken werden gevonden en opgelost.

Dit is een fundamenteel probleem waarmee elke organisatie die Open Source software gebruikt en heeft geen goede patch management practices geïmplementeerd. Duizenden en duizenden belangrijke softwarepakketten gebruik van open source libraries, maar tenzij er iemand die aan deze bibliotheken controleren riskeren ze verwaarloosd.

Het kan veiliger als, en alleen als, is het eigenlijk goed wordt gedaan en de mensen eigenlijk de gestraald code te onderzoeken. Als ze dat niet doen, dan is het niet veiliger dan een andere code;. Doelstelling studies, zoals die onlangs gedaan door Coverity, hebben ontdekt dat, open source-code heeft minder fouten; per duizend regels code dan haar eigen broer. En, het is moeilijk om de Communications-Electronics Security Group (CESG), de groep binnen de Britse Government Communications Headquarters (GCHQ), die besturingssystemen en software beoordeelt voor veiligheidskwesties, te negeren toen ze zeiden dat terwijl er geen end-user besturingssysteem zo veilig als ze willen dat het is, Ubuntu 12.04 is de beste van de partij;. dat gezegd hebbende, simpelweg omdat een programma is open source betekent niet dat het op magische wijze beter te beveiligen. Aan de andere kant, als de veiligheid echt toe doet voor uw bedrijf, u, als niemand anders, kan eigenlijk graven door de code op zoek naar problemen. Gewoon proberen het krijgen van Microsoft om u te laten kijken naar Internet Explorer (IE) code voor een bug hunt;! Kom te denken van het, na de, de nieuwste IE-gat in de beveiliging, welke versies hit van IE 6 naar de nieuwste IE 11, overheden begonnen met het aanbevelen Windows-gebruikers; overstap van IE Chrome of Firefox; (zowel open-source programma’s notch), die niet zo’n slecht idee kan zijn.

Vooral met beveiliging gerelateerde code en cryptografische bibliotheken, zoals OpenSSL, moet deze cruciale fundamenten van het internet worden omgezet in proprietary software? Leg je antwoord uit.

Nogmaals, er is niets magisch over open of gesloten source. Maar de heartbleed episode moet de bewustwording van de kant van de handhavers van de belangrijke programma’s van hoe belangrijk het is om te twijfelen veiligheid in plaats van alleen te accepteren.

Ik heb mijn huiswerk gedaan

Mijn tegenstander wil ons doen geloven dat de grote organisaties up zullen stappen op de plaat en dit te laten gebeuren. Dat gaat voorbij aan de realiteit van software management in grote organisaties, wanneer dit is zeker een kostenpost. Zelfs bedrijven als IBM en Red Hat die open source software op grote schaal te gebruiken zijn deze projecten niet behandelen alsof ze bezeten. Er is geen garantie dat ze de volledige code basis van een bepaald project, alleen de delen die hen rechtstreeks van invloed te beoordelen.

Vanuit een egoïstische oogpunt, kunnen veel bedrijven slim om een ​​kijkje op commerciële software (die meestal closed source) voor cruciale beveiligingsinfrastructuur te nemen. Met een enkele patch bron en een enkel punt van de bron controle, het is zeker makkelijker te onderhouden.

Wil je dat ik vertrouwen in een black box waar ik heb geen idee wat er echt gebeurt erin? II Laat So. not Think, ik geloof dat de beveiliging gerelateerde code en cryptografische bibliotheek open source moet zijn. Tegelijkertijd moeten we ervoor zorgen dat kritische open-source projecten, zoals OpenSSL, is niet toegestaan ​​om te gaan voor jaren zonder voldoende financiering. Dat is waarom ik denk dat het goed verleden tijd dat dergelijke initiatieven zoals de Core Infrastructure Initiative, is klaar om; sponsoren vitale ondergefinancierd, open-source projecten.

We zagen met Apple’s ‘kreeg falen,’ bug dat zelfs de grote Silicon Valley titans zijn niet perfect en kunnen gebreken missen – zelfs met hun enorme middelen. Zou Apple hebben geprofiteerd door het maken van een aantal van haar meest kritische beveiliging gerelateerde code ter inzage?

Steven J. Vaughan-Nichols

De heartbleed minpunt was daar voor meer dan een jaar voordat iemand opgevallen. Zelfs grote, goed geleide projecten zoals Ubuntu kunnen last hebben van echt dom beveiligingsfouten, zoals een vorige maand dat mag iedereen om de lockscreen te omzeilen door gewoon ingedrukt te houden Enter. (Dat was snel opgelost.)

Zonder dat zijspoor in een Apple-versus-de-wereld-tangent, zal ik herhalen wat ik al eerder zei: Dit soort problemen het best aangepakt met een fundamentele security review proces dat speciaal is ontworpen om de meest voorkomende fouten te vinden. Of het nu open of gesloten source, dat is de beproefde manier om te leveren (meer) secure code.

De ironie is dat Mac OS X is, op zijn stichting, gebaseerd op de 4.4BSD-Lite2 open-source UNIX en de Open Software Foundation Mach 3 microkernel. Natuurlijk, Steve Jobs, een control freak’s control freak, evenals een genie, was niet van plan om iedereen te laten buiten zijn reality distortion field, tast zijn baby, dus het is allemaal moot;. Dat gezegd hebbende, de OpenSSL fout was bijna net zo dom als goto mislukken en het ging onopgemerkt voor jong en oud.

Die, als wie dan ook, is uiteindelijk verantwoordelijk voor fouten of gebreken in open-source? De makers / oprichters, de gemeenschap, de eindgebruikers (met inbegrip van zakelijke klanten) van de software, of een combinatie van alle drie?

Ik weet niet of er iets te winnen door het spelen van deze versie van de schuld spel.

Moeten we de schuld van een gemeenschap, omdat het niet over de middelen om de code goed te testen alvorens deze te verzenden hebben? Moeten we de schuld klanten die software die lijkt stabiel, solide te zijn en goed getest te zetten? Natuurlijk niet.

Ik denk dat er een zaak te worden gemaakt voor grote bedrijven openstelling van hun chequeboekjes en meer te betalen voor het behoud van kritieke infrastructuur als deze. Maar in veel gevallen zijn ze al betalen forse bedragen Red Hat of Oracle of IBM of een ander groot bedrijf voor de ondersteuning van deze Open Source software. Dus misschien is die bedrijven die direct profiteren van Open Source moet worden naar de het schrijven van die controles.

Open source wordt vaak gezegd te worden gemaakt door de community. Terwijl sommige groepen, zeggen Debian Linux-ontwikkelaars, interpreteren dat nogal eng, de meeste erkennen dat iedereen, de eerste scheppers, de huidige generatie ontwikkelaars en beheerders en de gebruikers zijn alle leden van de gemeenschap;. Sommige open-source projecten, zoals OpenStack, komen recht uit en erkent dat de gebruikers, een belangrijk onderdeel van de gemeenschap. Dat wil niet zeggen dat iedere gebruiker moet een deskundige programmeur te zijn. Verre van dat! Maar, betekent het dat als uw bedrijf is afhankelijk van een bepaalde open-source programma voor zijn levensonderhoud u darn goed beter iemand in dienst die kent de code.

Major enterprise bedrijven niet bijdragen aan de ontwikkeling, het testen en valideren van de open-source software die ze vaak afhankelijk van. Zouden ze ook?

Het probleem is dat de aantrekkingskracht van de meeste Open Source software is dat het is gratis. En die grote bedrijven zijn verplicht aan hun aandeelhouders, die waarschijnlijk om te kijken naar eventuele belangrijke post en zeggen: “Wacht even, waarom bent u betaalt voor dit spul? Ik dacht dat het gratis was? ‘

En zelfs wanneer grote bedrijven kiezen om deel te nemen, ze nog steeds niet onbeperkte middelen hebben, wat betekent dat ze moeten kiezen welke onderdelen ze zich richten op en welke delen zij (blijven) verwaarlozing.

Het feit dat zoiets als de Core Infrastructure Initiative werd “geïnspireerd door de heartbleed OpenSSL crisis” is het bewijs dat de huidige Open Source ontwikkelingsmodel is gebroken en moet de vaststelling. Maar afhankelijk van het aantal projecten worden geacht ‘basisinfrastructuur’, de kosten kunnen stijgen in de honderden miljoenen dollars. Ik ben sceptisch dat we die vorm van engagement zullen zien.

Oh broer moeten ze ooit;! Dat is al een van de grote tekortkomingen van open source. Iedereen wil haar goodies, maar weinigen bereid zijn te betalen voor het. Dat is vooral het geval van deze belangrijke, maar grotendeels onzichtbaar sanitair programma’s, zoals OpenSSL, die het web economie draaiende houdt;. Als uw zakelijke leven en sterft door een dergelijk programma – en in het geval van OpenSSL dat is ongeveer 2 / 3e van alle e-commerce bedrijven – voor je eigen bestwil moet je iets betalen om ervoor te zorgen dat het programma problemen die uw bedrijf kan knock-out voor de telling wordt voorkomen; het meest trieste hiervan is dat voor een programma, zoals OpenSSL, zelfs een. paar dollar per jaar van elk bedrijf dat het gebruikt – zeggen dat de prijs van een fast food lunch – kan het verschil hebben gemaakt.

Veel security onderzoekers en hackers beslissen om openbaar te maken kwetsbaarheden in proprietary code, vaak omdat die bedrijven rapporten negeren of te prioriteren hen verkeerd. Moet-open source-code op dezelfde manier behandeld worden?

Er is een dubbele standaard aan het werk, om zeker te zijn. Veel commerciële software bedrijven besteden enorme middelen om de veiligheid te werken en hebben een grote focus op de klant, maar als ze niet dansen in reactie op de vraag van een security-onderzoeker van hun klanten lijden.

Dat gezegd hebbende, dit resultaat is het onwaarschijnlijk dat juist omdat er vaak geen beheer te schande in een open source project.

Eigenlijk is dat al gebeurt. . Als het probleem wordt genegeerd, wat meestal gebeurt is dat mensen gaan klagen over, als je kijkt naar bug reports alle belangrijke open-source programma’s zul je gebruikers schreeuwen dat X probleem niet is aangepakt en het nodig heeft om nu te worden bevestigd vinden het project programmering mailinglijsten. Als dat niet werkt, blog rapporten over de problemen start verschijnen en zo verder met het nieuws van de bug van de dag krijgen steeds bredere totdat de ontwikkelaars zijn beschaamd in de vaststelling van het probleem,. En als dat niet werkt, je kunt jezelf altijd repareren. Als ze niet uw pleister te accepteren, dan, als je echt het gevoel sterk genoeg over, kunt u de code vork. Als je gelijk had en het was een groot probleem zou u kunnen vinden de trotse ouder van een nieuw project. Dit is hoe open source werken;. In het specifieke geval van OpenSSL en heartbleed, dat is precies wat de OpenBSD Unix-ontwikkelaars hebben gedaan. Ze hebben; gemaakt LibreSSL. Dit lost niet alleen de heartbleed probleem, maar een heleboel andere oneffenheden in de OpenSSL code ook.

De NSA zei dat het had geen kennis van heartbleed voor het eerst werd onthuld. Gezien onze belasting dollars gaan om het werk van de NSA te ondersteunen (met inbegrip van het kraken van encryptie, maar ook de openbaarmaking van belangrijke tekortkomingen als het hen vindt), heeft de NSA leg de bal door het niet vinden van de fout in het op grote schaal beschikbaar code?

De NSA is niet belast met de openbaarmaking van belangrijke gebreken wanneer het hen vindt. Dat is de taak van US-CERT. De NSA’s taak is om inlichtingen over buitenlandse regeringen en potentiële bedreigingen voor de Verenigde Staten te verzamelen. Het kan en moet informatie op intelligente wijze te delen met US-CERT, maar dat is niet een deel van de kern van de missie.

Onvermijdelijk?

Geplaatst door Zack Whittaker

Het was een beginnersfout

ed Bott

Het zou kunnen worden voorkomen

Oh, en inlichtingendiensten uit andere landen, die toegang hebben tot dezelfde broncode had blijkbaar liet ook de bal.

Ik ben er zeker van dat de NSA werkt erg hard met open en closed source projecten om manieren te bespioneren door haar aangewezen targets te vinden. Heeft niet echt veel te maken met deze vraag.

We denken dat de NSA is de alfa en end-all van online gluren toms en wat zien we? Ze schijnbaar, nooit vond de heartbleed hole; ofwel! Oh de schande van dit alles, Ik moet denken aan het oude gezegde dat je nooit moet toeschrijven aan kwaadwilligheid dat die voldoende is te verklaren door domheid. In dit geval zowel de OpenSSL programmeurs, onnoemelijke aantal gebruikers, ontwikkelaars en beheerders van websites, en ja, de NSA ook, waren allemaal schuldig aan domheid.

Wat is de meest praktische manier om te voorkomen heartbleed-achtige problemen in de toekomst?

Steven J. Vaughan-Nichols

Definieer open source

Geplaatst door Zack Whittaker

verkeerde vraag

ed Bott

Open source moet overal

Steven J. Vaughan-Nichols

Open source of closed source?

Geplaatst door Zack Whittaker

Zolang code is geschreven door mensen en geleverd door organisaties die hebben beperkte middelen, zal kwetsbaarheden zoals deze blijven security experts en IT-professionals druk voor een lange, lange tijd bij te houden.

In principe komt het neer op een inconvenient truth: Open Source software is niet echt vrij. Iemand moet de kosten van de ontwikkeling, het testen, en het management te betalen. Een deel van die kosten zullen blijven van ontwikkelaars doen van vrijwilligerswerk te komen, maar het is ook te groot voor-profit bedrijven die profiteren van Open Source om pony ook.

De echte oplossing, degene die mijn tegenstander gezinspeeld in zijn openingstoespraak opmerkingen, is tweeledig. Ten eerste, verhoging van de financiering voor cruciale projecten aan ontwikkelaars betalen de juiste plaats van ze verwacht code in hun vrije tijd te schrijven zonder compensatie. Ten tweede, en nog belangrijker, bieden professionele beheer en beveiliging beoordelingsprocessen.

Maak deze twee fundamentele veranderingen, en we hebben een kans om te vechten om het risico van verdere incidenten zoals deze te verminderen.

Eens te meer de debaters een geweldige job en het is aan jou om te helpen kiezen de winnaar. Op woensdag Ed en Steven zullen hun uiterste verklaringen in te dienen en ik zal mijn beslissing te plaatsen. De reacties zijn voor uw leesplezier, voeg uw mening. Vergeet niet te stemmen.

ed Bott

het geloof van mijn tegenstander in Open Source is bewonderenswaardig. Maar je kunt het wereldwijde internet niet draaien als een geloof gebaseerde organisatie.

Het probleem dat de heartbleed security nachtmerrie veroorzaakt is rechtstreeks toe te schrijven aan het missen van het beheer van de infrastructuur, wat geld kost. Je kunt niet zomaar vragen een paar ontwikkelaars en een stagiair om controle code. Je hebt een formele security review proces en een QA afdeling eerlijk-to-God.

In zijn weerlegging antwoorden, mijn tegenstander geeft over en weer dat de huidige Open Source ontwikkelingsmodel is gebroken. Dat is de reden waarom de Core Infrastructure Initiative wordt overhaast in het bestaan. Maar zal het genoeg financiële middelen om een ​​effectief werk te doen? Onwaarschijnlijk.

Hij zegt: “Als uw bedrijf is afhankelijk van een bepaalde open-source programma voor zijn levensonderhoud u darn goed beter iemand in dienst die kent de code.” Seriously? Tienduizenden bedrijven gebruik OpenSSL, bestaande uit; “. Honderdduizenden lijnen zeer complexe code”, Klanten kunnen niet worden verwacht dat elke regel code ze gebruiken beoordelen.

Helaas, heartbleed was waarschijnlijk niet een geïsoleerd voorbeeld. Zolang Open Source projecten worden uitgevoerd op ontoereikende middelen met onvoldoende management, zullen ze weer gebeuren. Het is verleden tijd voor een verandering.

 dekking

Steven J. Vaughan-Nichols

Ed en ik kan twisten over de fijne details, maar aan het eind van de dag is dat we het erover eens dat als de ontwikkelaars gebruik van open-source programmeertaal methodologie correct kun je geweldige software te produceren. Ik geloof ook dat proprietary software methoden boete’s kunnen produceren ook. Ik denk gewoon dat de kansen zijn beter je zult eindigen met hoogwaardige, veilige programma’s als je een open-source roadmap voor uw project te volgen.

Succesvolle pure open-source bedrijven zoals Red Hat, SugarCRM en Alfresco, een enterprise content management provider, gebruiken allemaal dezelfde software ontwikkeling directies het dat proprietary software vendors gebruiken. Andere bedrijven die je misschien niet denken als open source ontwikkeling huizen zoals Dell met OpenStack en Facebook met, Open Compute, gebruik zowel open source als “corporate” ontwikkeling methoden.

Kortom, wanneer het goed gedaan, open-source combineert zowel open source deugden met zogenaamde ‘proprietary’ methodieken. Het is alleen in die hoek gevallen, zoals OpenSSL met heartbleed, waarbij een programma is zowel populair en ondergefinancierd dat er de reële mogelijkheid van een groot veiligheidsprobleem. Nu dat heartbleed mensen zich hiervan bewust en inspanningen, zoals het heeft gedaan; Core Infrastructure Initiative, zal helpen voorkomen dat de grote gaten in de beveiliging;. Dus, voor zover ik mij betreft, open-source is nog steeds de beste manier om de ontwikkeling van veilige, veilig software.

Zack Whittaker

Ik moet toegeven, dit was lastig, maar ik ga met de heer Bott. Terwijl de heer Vaughan-Nichols maakte een aantal goede punten, vond ik veel van zijn reacties vermeden de specifieke kwestie in de hand – de praktische problemen met de ontwikkeling aanpak open-source’s;. Mr. Vaughan-Nichols toch maakte een aantal diepgewortelde argumenten over de open-source ontwikkelingsmodel, met name het vergelijken en contrasterende de zo ver “one-off” heartbleed fout met één van de buggiest closed-source toepassingen op de markt, Internet Explorer. En ja, zijn argument dat grote bedrijven die open source software te gebruiken moet investeren in de gemeenschap ze vertrouwen op zo veel bijna gewonnen me over;. Maar wat doorslag voor mij was de kern van het onderwerp. Mr. Bott moordenaar dichter zet de kers op de taart debat. Ja, gebreken bestaan ​​in de grote proprietary code en closed-source apps. . Maar terwijl soms duizenden van medewerkers kan helpen bij het opbouwen van een beter functionerende product, de gevolgen voor de beveiliging in een wereld met onvoldoende beheer en middelen zal waarschijnlijk niet voorkomen dat een ander heartbleed uit bestaande; Het was een goede wedstrijd, vergis je niet – en het publiek overeengekomen met een grote meerderheid met de heer Vaughan-Nichols. Maar ik denk dat de heer Bott heeft naar de overwinning in dit geval.

Canonical en Microsoft werken samen aan containers

Hebben we echt een recht om te worden vergeten?

dappere nieuwe strategie Satya Nadella’s: Kan Microsoft uit te voeren?

In IBM en Apple’s kielzog, heeft Android verloor haar enterprise kans?

Nogmaals, noch

ed Bott

Open source – als ze doen hun werk

Steven J. Vaughan-Nichols

De gepatenteerde software vraag

Geplaatst door Zack Whittaker

Ik ben niet zeker hoe dat zou werken

ed Bott

Ben je serieus

Steven J. Vaughan-Nichols

Mocht Apple delen?

Geplaatst door Zack Whittaker

Waarschijnlijk niet

ed Bott

Ja, ze zouden hebben

Steven J. Vaughan-Nichols

Wie is er verantwoordelijk?

Geplaatst door Zack Whittaker

De schuld spel

ed Bott

De leiding nemen

Steven J. Vaughan-Nichols

gedeelde verantwoordelijkheid

Geplaatst door Zack Whittaker

In een perfecte wereld, ja

ed Bott

Weinigen zijn bereid de prijs te betalen

Steven J. Vaughan-Nichols

Openbaarmaking?

Geplaatst door Zack Whittaker

Waarom niet

ed Bott

Het gebeurt nu

Steven J. Vaughan-Nichols

Olifant in de kamer

Geplaatst door Zack Whittaker

gebrekkige premise

ed Bott

Schande, schande

Steven J. Vaughan-Nichols

Geleerde lessen

Geplaatst door Zack Whittaker

Beveiligingsfouten zal altijd bij ons

ed Bott

Doe open source rechts

Steven J. Vaughan-Nichols

Bedankt voor ons mee

Geplaatst door Zack Whittaker