Die Distributoren? Das sind manchmal nur 1 oder 2 Leute. Wenn überhaupt, dann ist das bestenfalls für die Großen realisierbar.
Jeder macht so viel er kann.
Ich bezog mich hauptsächlich auf die großen, wie RedHat, Canonical & Co, aber mit der DB verhindert man eben unnötige Redundanz und wichtige Pakete audited man einfach öfters.
Im übrigen könnte sich auch jeder fähige User der Open Source Community daran beteiligen, dagegen spricht ja nichts, die müssten sich dann nur beteiligen. Wichtig ist aber, das Arbeit nicht unnötig doppelt gemacht wird und andere Pakete gar nicht auditet werden.
Aber die eigentlichen Programmierer sollten endlich mal (wieder?) die Sicherheit an erste Stelle setzen. Nicht immer nur die Featuritis. Der OpenSSL-Bug wäre absolut vermeidbar gewesen, wenn die Ersteller besser gearbeitet hätten.
Das ist schon richtig. Dennoch entstehen viele Sicherheitslücken, weil Fehler eben passieren, deswegen halte ich es für keine gute Idee, wenn nur der Programmierer auf den Code schaut. Da besteht also dringend Handlungsbedarf.
Ich wette sogar dass so manche sicherheitskritische proprietäre Closed Source Software intern vor Release von der Firma wesentlich besser geprüft wird, als OpenSSL, obwohl wir keinen Einblick in diese propritäre Closed Source Software haben und das will was heißen.
Im übrigen könnte sich auch jeder fähige User der Open Source Community daran beteiligen, dagegen spricht ja nichts, die müssten sich dann nur mit ihrem Audit in die DB eintragen.
Dennoch entstehen viele Sicherheitslücken, weil Fehler eben passieren, deswegen halte ich es für keine gute Idee, wenn nur der Programmierer auf den Code schaut. Da besteht also dringend Handlungsbedarf.
Ich schrieb nicht, dass nur die Entwickler darauf schauen sollen. Sie sind aber die Verursacher und haben m.E. auch die Pflicht, etwas sorgfältiger zu arbeiten. Und der "Bug" in OpenSSL sieht streng genommen mehr nach Backdoor, als nach einem "kann-mal-passieren-Fehler" aus. Das macht es ja auch so peinlich für OpenSSL. Andererseits sollten die endlich mal ihren Code "ein wenig" verschlanken und v.a. endlich mal anständig kommentieren. Das Zeug durchblickt doch kaum noch jemand.
Wie ich schon mal erwähnte, ich würde ohnehin GnuTLS in vielen Fällen vorziehen, wenn es die Möglichkeit gäbe, durch einfache Paketinstallation OpenSSL zu ersetzen.
Ich wette sogar dass so manche sicherheitskritische proprietäre Closed Source Software intern vor Release von der Firma wesentlich besser geprüft wird, als OpenSSL, obwohl wir keinen Einblick in diese propritäre Closed Source Software haben und das will was heißen.
Lustige Wette. Klar gibt es proprietäre CSS, die sorgfältiger geprüft wurde, als ganz offensichtlich OpenSSL. Nur für welche CSS trifft das zu? Das kann man ohne Insiderkenntnis leider überhaupt nicht beurteilen. Dafür habe ich schon zu viel miese (auditierte) CSS gesehen. Die Frage ist doch: Wer auditiert wie, nach welchen Gesichtspunkten und Interessen?
Jeder macht so viel er kann.
Ich bezog mich hauptsächlich auf die großen, wie RedHat, Canonical & Co, aber mit der DB verhindert man eben unnötige Redundanz und wichtige Pakete audited man einfach öfters.
Im übrigen könnte sich auch jeder fähige User der Open Source Community daran beteiligen, dagegen spricht ja nichts, die müssten sich dann nur beteiligen. Wichtig ist aber, das Arbeit nicht unnötig doppelt gemacht wird und andere Pakete gar nicht auditet werden.
Das ist schon richtig.Dennoch entstehen viele Sicherheitslücken, weil Fehler eben passieren, deswegen halte ich es für keine gute Idee, wenn nur der Programmierer auf den Code schaut.
Da besteht also dringend Handlungsbedarf.
Ich wette sogar dass so manche sicherheitskritische proprietäre Closed Source Software intern vor Release von der Firma wesentlich besser geprüft wird, als OpenSSL, obwohl wir keinen Einblick in diese propritäre Closed Source Software haben und das will was heißen.
Korrektur:
Im übrigen könnte sich auch jeder fähige User der Open Source Community daran beteiligen, dagegen spricht ja nichts, die müssten sich dann nur mit ihrem Audit in die DB eintragen.
Und der "Bug" in OpenSSL sieht streng genommen mehr nach Backdoor, als nach einem "kann-mal-passieren-Fehler" aus.
Das macht es ja auch so peinlich für OpenSSL.
Andererseits sollten die endlich mal ihren Code "ein wenig" verschlanken und v.a. endlich mal anständig kommentieren.
Das Zeug durchblickt doch kaum noch jemand.
Wie ich schon mal erwähnte, ich würde ohnehin GnuTLS in vielen Fällen vorziehen, wenn es die Möglichkeit gäbe, durch einfache Paketinstallation OpenSSL zu ersetzen.
Lustige Wette. Klar gibt es proprietäre CSS, die sorgfältiger geprüft wurde, als ganz offensichtlich OpenSSL. Nur für welche CSS trifft das zu? Das kann man ohne Insiderkenntnis leider überhaupt nicht beurteilen.Dafür habe ich schon zu viel miese (auditierte) CSS gesehen.
Die Frage ist doch: Wer auditiert wie, nach welchen Gesichtspunkten und Interessen?