Login
Newsletter
Werbung

Thema: Lars Wirzenius verlässt Debian

61 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Bolle vom Berg am Mo, 26. November 2018 um 12:58 #

Burnout? Oder muss sich hier Debian neu erfinden?

0
Von Donald_Luck am Mo, 26. November 2018 um 13:21 #

dann wird das Gejammer noch erheblich größer.
Schade wenn Leute von verheizt werden.

  • 0
    Von LarsL am Mo, 26. November 2018 um 14:31 #

    Ich nutze Linux seit Mitte der 90er, das System wird sich nicht mehr durchsetzen. Seit eh und je gibt es zig verschiedene Desktopansätze und entsprechende Graphikbibliotheken. Anfangs hatte ich große Hoffnungen in Ubuntu gelegt, diese Distro hatte das Potential durch Vereinheitlichung Linux auf den Desktop zu holen. Dann kamen plötzlich kUbuntu, xUbuntu und wie sie alle heißen um die Ecke und schwupps war alles dahin.
    Die meisten Nutzer wollen nunmal irgendwas wie Windows, nur eben in funktionierend.

    • 0
      Von Andre am Mo, 26. November 2018 um 15:18 #

      >> Windows, nur eben in funktionierend.
      Das tut es unter seit XP sofern man sich keinen Schrott installiert, seine Finger von den 1000 Verschlimmbesserungs-Tipps der Möchtegern Admins lässt und auf anständige Hardwarekomponenten setzt....

      • 0
        Von Andre am Mo, 26. November 2018 um 15:19 #

        also im grunde genau das gleiche wie unter gnu/linux!

        0
        Von Peekaboo am Di, 27. November 2018 um 10:56 #

        Das tut es unter seit XP

        LOL! Nein, XP war die Malware- und Bluescreenschleuder schlechthin. Funktionieren hat noch nie dazugehört, auch bei den aktuellen Versionen von Windows nicht.

        • 0
          Von Feuervogel am Di, 27. November 2018 um 13:46 #

          Nur mal so zur Erinnerung (Ende 2005/Anfang 2006):

          "Wenn die Antwort lautet "Ich will Windows ohne die Probleme": Machen Sie eine saubere Installation von Windows XP SP2, installieren Sie eine gute Firewall, installieren Sie ein gutes Anti-Viren-Programm, benutzen Sie niemals den IE zum Browsen im Web, aktualisieren Sie regelmäßig Ihr System, starten Sie nach jeder Software-Installation neu und lesen Sie etwas über gute Sicherheitsregeln. Ich habe Windows selbst benutzt von 3.1 über 95, 98, NT und XP und hatte nicht einmal einen Virus oder Spyware oder wurde gehackt. Windows kann ein sicheres und stabiles Betriebssystem sein, aber es ist auf Sie angewiesen, damit es so bleibt." (Dominic Humphries)

          Aus "Linux != Windows" (Übersetzung ins Deutsche von Felix Schwarz)

          Gruß
          Feuervogel

          • 0
            Von Peekaboo am Mi, 28. November 2018 um 01:13 #

            Soll ich dir zur Erinnerung mal sämtliche Windows-Malware & Sicherheitsprobleme von Windows XP heraussuchen? Problem ist nur, das ich dafür mehrere Posts brauchen werde.

            Ich habe in den letzten 20 Jahren auch keine Viren unter Windows eingefangen, und das sogar ohne Firewall, und ohne Virenscanner.

            0
            Von DriverDevel am Mi, 28. November 2018 um 11:47 #

            > und hatte nicht einmal einen Virus oder Spyware oder wurde gehackt.

            und hatte nicht einmal einen mir aufgefallenen Virus oder Spyware oder wurde gehackt.


            So dürfte der Satz ein ganzes Stück überlebensfähiger sein.

            • 0
              Von Feuervogel am Mi, 28. November 2018 um 13:27 #

              Hallo DriverDenel,

              Dir sollte schon bewusst sein, dass Du einen Zitatabschnitt" in deutscher Übersetzung eines Textes von Dominic Humphries wertend ergänzt, der mehr als 12 Jahre alt ist (Erstveröffentlichung).

              Wenn Du den gesamten Text liest, dann wirst Du feststellen, dass der Autor gründlich mit dem Missverständnis von Windows-Nutzern aufräumt, die aufgrund ihres "(Windows-)Wissens" meinen beurteilen zu können, wie Linux zu sein habe oder sein müsse, damit es von diesen auch besser angenommen würde. Gutes Beispiel am Anfang "Auto-Motorrad-Vergleich".

              Am Ende steht die aus meiner Sicht richtige Schlussfolgerung, dass der jeweilige Anwender zu einem Großteil mit dafür verantwortlich ist, wie das Betriebssystem, das er nutzt, behandelt wird.
              Jedes Betriebssystem ist so sicher, wie der Anwender es behandelt.

              Um beim Kraftverkehr zu bleiben:
              Als Nutzer eines Motorrades oder eines Autos habe ich dafür Sorge zu tragen, dass der Motor und das Getriebe und alles weitere, was eine vollständigen Betrieb des Fahrzeuges ermöglicht, überprüft und falls erforderlich instandgesetzt wird.
              Nennt sich allgemein (regelmäßige) Wartung bzw. Inspektion.

              Ich unterstelle jedenfalls Dominic Humphries, dass er zu dieser Zeit mit seinem Rechner mit dem Betriebssystem Windows XP SP 2 im Verbund mit Firewall, Anti-Viren-Programm und den weiteren damit verbundenen vom ihm empfohlenen Handlungsregelungen so umgegangen ist und das Rechnersystem so gepflegt hat, dass seine Schlussfolgerung nicht in Zweifel gezogen werden muss und er so hingestellt wird, als würde er die Unwahrheit schreiben oder etwas behaupten, was nicht stimmen kann.

              Gruß
              Feuervogel

      0
      Von Verfluchtnochmal-05995bd7b am Mo, 26. November 2018 um 15:44 #

      Es braucht sich auch nicht durchsetzen, du kannst gerne Windows oder OSX benutzen - So what

      0
      Von Donald_Luck am Mo, 26. November 2018 um 16:01 #

      Menschenskinder es geht nicht ums durchsetzen an sich, sondern um die ganzen Meckermäuler.
      Die kommen mit der Masse.
      Prozentual ist der Anteil gleich aber subjektiv wahrgenommen wo früher 2 rumgejammert haben, jammern dann 8 rum und das drückt die Stimmung.

      Etwas anderes:
      deine Aussage über Ubuntu und der Zerstörung der Idee dahinter mit aufkommen von Xubuntu, kUbuntu, Dummbuntu etc. etc. etc. unterschreibe zu 100%!
      Freut mich ein bischen, dass nicht nur ich diese Aufsplittung nicht sehr positiv empfand.

      0
      Von Anonymous am Mo, 26. November 2018 um 18:08 #

      Deine Hoffnung war nicht deshalb vergebens, weil es keinen einheitlichen Desktop unter Linux gibt, sondern, weil Desktop-Rechner und Notebooks seit jeher mit Windows ausgeliefert werden und M$ sehr viel dafür getan hat, dass das so bleibt.

      Man denke nur an die Kartellverfahren, die sehr berechtigt waren, aber alle mit "too little, too late" endeten.

      Aber mir isses ebenfalls wurscht, dass sich Linux nicht auf dem Desktop durchgesetzt hat.

      0
      Von Oiler der Borg am Mo, 26. November 2018 um 20:41 #

      eben Windows!
      klingt komisch ist aber so

      0
      Von Antiquities am Di, 27. November 2018 um 07:37 #

      im Wesentlichen hast du völlig recht. Weg mit qt/kde&Co.

      0
      Von Peekaboo am Di, 27. November 2018 um 10:53 #

      Dann kamen plötzlich kUbuntu, xUbuntu und wie sie alle heißen um die Ecke und schwupps war alles dahin.

      Einspruch! Es ist jedesmal Ubuntu. Nur mit einem anderen Desktop vorkonfiguriert. Ist schon komisch, das Ubuntu trotzdem eine der meistverbreitesten Distribution auf dem Desktop ist, und Linux auch ordentlichen Zuwachs gebracht hat.

      Die meisten Nutzer wollen nunmal irgendwas wie Windows, nur eben in funktionierend.

      Eben Ubuntu, das Windows unter den Linux-Distributionen, wie es auch genannt wird, und es funktioniert!

1
Von zorniger alter Mann am Mo, 26. November 2018 um 16:28 #

Sehr bedauerlich wenn ein Developer aufhört, die Pakete funktionieren nicht von allein, dahinter steckt harte Arbeit. Leider mecker ich auch zuviel. Hoffentlich kommt er zu Debian zurück.

  • 1
    Von linuxdurchsetzer am Mo, 26. November 2018 um 18:46 #

    Linux hat sich schon lange durch gesetzt, halt nur bei User,
    die es ernsthaft nutzen wollen.

    Nur die Winuser sehen das immer anders, weil sie am liebsten
    jeden Rechner mit Linux hätten, der muss aber so sein sein wie
    Windows, und wenn sie dann wieder den gleichen Mist wie vorher haben,
    jammern sie weiter.

    Mir ist der Marktanteil vollkommen egal. Die 0,5% sind eh gesponnen.
    KEIN Mensch auf dieser Welt kann nur ansatzweise
    sagen wie viele Menschen tatsächlich Linux auf dem Desktop nutzen.

    Ich komme jedenfalls seit 30 Jahren hervorragend ohne Windows aus.

    mfg

    • 0
      Von zorniger alter Mann am Mo, 26. November 2018 um 19:39 #

      Das Problem ist doch eigentlich ein Anderes. Die ganzen Quellcodes werden langsam zu fett, weil zu viele Features implementiert werden. Als Folge gilt dann: mehr Code = mehr Bugs = mehr Sicherheitslücken. Immer mehr Quellcode lastet auf einer gleichbleibenden Menge Developer. Darunter leidet dann zwangsläufig irgendwann die Code Qualität. Und mehr Bugs bedeutet natürlich immer auch mehr Gemecker.

      0
      Von Peekaboo am Di, 27. November 2018 um 11:10 #

      Linux hat sich schon lange durch gesetzt, halt nur bei User,
      die es ernsthaft nutzen wollen.

      Yup, und das seit über 20 Jahren xD

      Nur die Winuser sehen das immer anders, weil sie am liebsten
      jeden Rechner mit Linux hätten, der muss aber so sein sein wie
      Windows, und wenn sie dann wieder den gleichen Mist wie vorher haben,
      jammern sie weiter.

      Der Wille sich in etwas neues einzuarbeiten fehlt einfach. IMHO sollen sie bei ihrem Windows bleiben, und weiterjammern, wie schlecht doch alles ist.

      Mir ist der Marktanteil vollkommen egal. Die 0,5% sind eh gesponnen.
      KEIN Mensch auf dieser Welt kann nur ansatzweise
      sagen wie viele Menschen tatsächlich Linux auf dem Desktop nutzen.

      Klar, weil wir nicht wollen, das in unseren Systemen herumgeschnüffelt wird, und damit keine Zahlen liefern können. IMHO finde ich den Ansatz von Canonical ganz gut, um da für mehr Klarheit zu sorgen. Lt. diversen Satistiken liegt Linux inzwischen bei 2-4% auf dem Desktop.

      Ich komme jedenfalls seit 30 Jahren hervorragend ohne Windows aus.

      Leider nur privat :(. In der Arbeit hat man ständig mit dem Stolperstein und Bremsklotz Windows zu tun.

      • 0
        Von blei am Di, 27. November 2018 um 11:28 #

        Der Wille sich in etwas neues einzuarbeiten fehlt einfach.
        Es soll ja Menschen geben die nach Anwendung entscheiden. Da kommt man in einigen Bereichen nicht um Windows oder Mac herum. Ist ja leider so. VM oder Wine ist keine Option. Es fehlen die Killerapps, dann würden auch mehr Menschen sicherlich gerne auchmal eine Linuxdistribution ausprobieren und mehr nutzen.

0
Von Leanfuchs am Mo, 26. November 2018 um 20:08 #

Ich halte es für Verschwendung so viele Distributionen zu entwickeln statt 1-2 voranzubringen. Deswegen wird Linux niemals für die breite Masse sein. Ich nutze es auch nur weil ich das Wissen aus den jungen Jahren mit Linux noch habe. Es ist für normalen Menschen kaum zu nutzen. Nicht umsonst ist Apple erfolgreich. Sie setzen auf Einfachheit.
Ich habe mich für Manjaro entschieden weil es das einfachste und für mich beste Linux ist. Hardware Erkennung etc.

  • 0
    Von Janko Weber am Mo, 26. November 2018 um 20:36 #

    >Ich halte es für Verschwendung so viele Distributionen zu entwickeln statt 1-2 voranzubringen.

    Das sehe ich genauso. Das wären dann Mandriva und Debian gewesen. Mandriva konnte schon kaputt gemacht werden, jetzt ist Debian dran.

    Je nachdem für was man seinen Linux-Desktop braucht kann einem aber ein Debian-8-System reichen. Deshalb frage ich mich wieviel Entwicklung der keinen Fortschritt darstellt Linux noch braucht. Ich bin mit meinem MX15-Remaster mit XFCE zufrieden.


    MfG Janko Weber

    0
    Von tntnet am Di, 27. November 2018 um 08:33 #

    Das ist richtig.

    Es ist auch Verschwendung, mehr als ein Auto zu entwickeln. Warum konzentriert sich die Welt nicht auf das eine-Welt-Auto? Warum gibt es so viele Automarken und bei jeder Automarke auch noch verschiedene Modelle? Zu viel Wettbewerb schadet der Entwicklung, weil jeder in eine andere Richtung geht. Der Trabant war doch ok, oder?

    Die Welt wäre so viel einfacher, wenn sich die Menschen endlich mal einigen könnten.

    Und so viele Religionen. Und So viele verschiedene Sprachen. Wir sollten alle Esperanto sprechen.

    0
    Von Peekaboo am Di, 27. November 2018 um 11:19 #

    Ich halte es für Verschwendung so viele Distributionen zu entwickeln statt 1-2 voranzubringen. Deswegen wird Linux niemals für die breite Masse sein. I

    Finde ich nicht. Es gibt ja gerade mal eine Handvoll an Distributionen. Alles andere sind ja "vorkonfigurierte" Ableger davon.

    Ich nutze es auch nur weil ich das Wissen aus den jungen Jahren mit Linux noch habe. Es ist für normalen Menschen kaum zu nutzen. Nicht umsonst ist Apple erfolgreich. Sie setzen auf Einfachheit.

    Genau das ist Blödsinn! Gerade "normale" Menschen können damit sogar hervorragend umgehen. Problemmatisch sind eher die, die schon lange Jahre ein anderes OS benutzen. Die haben die größten Problem sich umzustellen. Einfachheit bekommst du auch mit Linux. Mußt dich nur dafür entscheiden.

    Ich habe mich für Manjaro entschieden weil es das einfachste und für mich beste Linux ist. Hardware Erkennung etc.

    ...und schon hast du gelernt, warum es soviele Linux-Distributionen gibt. Jeder Nutzer/Anwenderkreis stellt unterschiedliche Anforderungen an sein Betriebssystem. Bei Windows und MacOS MUSS ich mit dem arbeiten, was mir der Hersteller anbietet. Bei Linux habe ich die frei Wahl, und kann es flexibel an meine Bedürfnisse und Arbeitsabläufe anpassen.

    0
    Von blei am Di, 27. November 2018 um 11:50 #

    Die Distribution ist doch schon fast egal. Pulseaudio, Systemd, Snaps, Flatpak, X.... Grafische Paketmanager, Hardwaremanager oder Einstellungsassistenten funktionieren mittlerweile ganz gut ohne viel erklären zu müssen usw. Der Rest regelt sich von selbst, was angesagt ist und was nicht. Linux lebt von seiner Vielfältigkeit und Bewährtes setzt sich auch durch, siehe Distrowatch. Ich selber bin auch zu Manjaro gewechselt, vorher war es Ubuntu. Auf http://snapcraft.io/ bekommt man trotzdem gute Software, wie zum Beispiel foobar2000. Der einzige Audioplayer mit einer gescheiten Waveform-Seekbar in der gesamten Linuxwelt. Oder den neuen Browser Brave, Spotify usw.

    0
    Von Debianuser am Mi, 28. November 2018 um 15:21 #

    Ich halte es für Verschwendung so viele Distributionen zu entwickeln statt 1-2 voranzubringen.

    Selbst wenn du alle Entwickler, die an einer Distribution beteiligt sind unter einen Hut bringen würdest, so wäre doch Debian die wichtigste Distribution von allen.
    Denn Debian ist das Fundament von Ubuntu (Marktanteil > 70 %) und vieler weiterer wichtigen Distributionen.
    Wenn, dann müssten alle Entwicklerkräfte nach Debian vereint werden.

    Das hätte den netten Nebeneffekt, dass die Entwicklung von Debian stable wesentlich schneller ablaufen würde und man häufiger neue Releases hätte und der Supportzeitraum wohl auch länger wäre.
    Die Einfachheit und die Wikis würden auch besser werden, wenn man die ganzen Ubuntu Entwickler an Bord hätte.

0
Von Anon am Mo, 26. November 2018 um 21:09 #

Der Entwicklungsprozess bei Debian entspricht noch der Steinzeit.

QM?
Jira?
Jenkins?
Confluence?
Software Licefcycle?

Nie davon gehört.

Alles ist hässlich, altbacken und überkompliziert.

10000 verbuggte Pakete, (z.B Viewer, Mediaplayer, Reader, Paints, Entpacker, Browser) die gleiche Teilaufgaben übernehmen und nie eine ganze Aufgabe ganz lösen.

Man muss schon ein Hardcore Neckbeard mit 300kg und 7 Dioptrien sein, um sich das anzutun. Aktive Entwickler sehen irgendwann aus wie Richard Stallmann und Alan Cox. Der Ton und die Einstellung gegenüber Neuerungen und Kritik entspricht auch der Steinzeit.

Außerhalb von ein paar Basispaketen, die immer weniger werden gammelt es zunehmend vor sich hin.

Mir egal, nach sechs Jahren bin ich weg davon. Die Bugs werde ich nicht vermissen.

  • 0
    Von Janko Weber am Mo, 26. November 2018 um 21:14 #

    >Nie davon gehört.
    Nein. Will ich auch nicht; belangloses IRGENDWAS.

    >10000 verbuggte Pakete, (z.B Viewer, Mediaplayer, Reader, Paints, Entpacker, Browser) die gleiche Teilaufgaben übernehmen und nie eine ganze Aufgabe ganz lösen.

    Bist Du dumm? Das hat doch wohl nichts mit Debian zu tun.
    Nenne mal eine Alternative.


    MfG Janko Weber

    • 0
      Von Peekaboo am Di, 27. November 2018 um 11:24 #

      >Nie davon gehört.
      Nein. Will ich auch nicht; belangloses IRGENDWAS.

      Belangloses IRGENDWAS???

      Ist ja das tolle an Linux, du kannst auch weiterhin mit deinen Steinen spielen, während andere mit Überschall fliegen. xD

      Belangloses Zeugs war es jedenfalls nicht. Das ist Handwerkzeug, das man beherschen muß!

    0
    Von Michael Stehmann am Di, 27. November 2018 um 11:38 #

    Da Du seit sechs Jahren davon weg bist, hast Du die Entwicklung wahrscheinlich nicht mitbekommen.

    Ein Hinweis: Debian entwickelt keine Anwendungen (außer für den Eigenbedarf), sondern paketiert sie.

    Hierfür und für die Kontrolle des Ergebnisses stehen einige smarte "Helferlein" zur Verfügung, die die Arbeit meinem Eindruck nach (ich bin kein DD) sehr erleichtern.

    Die DebianDeveloper, denen ich begegnet bin, waren im Übrigen stets recht freundlich und meist auch recht hilfsbereit.

0
Von HPC-User am Di, 27. November 2018 um 08:04 #

lassen wir mal die gefühlt 1.000ste Diskussion zu den Chancen von Linux auf dem Desktop beiseite. Im Server- und HPC-Bereich ist Linux der Standard. Die Zukunft wird Cloud- und Web-Computing und nicht der das Desktop-OS sein.
Die Treiber moderner HPC- und Storage-Hardware (z.B. Intels Omnipath, IBMs GPFS, NVIDIAs DGX-2-NVSwitch, etc.) sind aber i.d.R. nicht mit der Debian-Lizenz verwendbar, so dass Debian bei solchen Systemen draußen bleiben muss. Die Aussichten für Debian sehe ich daher eher skeptisch.

  • 0
    Von zorniger alter Mann am Di, 27. November 2018 um 09:35 #

    Bullshit-Bingo im Linux Kindergarten? Da versteht dich doch keiner! Da Debian keine Firma ist, sehe ich die Zukunft positiv, auch in 10 Jahren wird es noch Debian geben. Einzig Upstream ist ein Problem weil dessen Qualität sinkt, aber das betrifft alle Betriebssyssteme die Opensource nutzen, auch Windows. Schau mal auf die SuSEn, die stehn auf Bullshit-Bingo, und was hat es ihnen genützt? Wird es in 10 Jahren noch SuSE geben?

    • 0
      Von WDR ComputerClub am Di, 27. November 2018 um 11:47 #

      Ich sehe eher die Gefahr, das debian im Vergleich mit redhat in den nächsten Jahren ins Hintertreffen gerät und letzlich sogar quasi-obsolet wird. Bei redhat tut sich so viel, die haben 50x mehr Programmierer, den Marktanteil in USA und massig finanzielle Mittel.

      • 0
        Von zorniger alter Mann am Di, 27. November 2018 um 12:06 #

        Für Mich als Privatperson ist die Debian Community aber deutlich sympathischer als IBM, und das werden andere Privatpersonen sicher ähnlich sehen. Aber im Firmenumfeld hat Redhat natürlich großen Erfolg.

      0
      Von Ede am Di, 27. November 2018 um 11:54 #

      Ich verstehe das ganze Geblubber nicht. Ich arbeite ganz einfach mit Debian GNU/Linux. Seit vielen Jahren. Völlig unspektakulär. Ich sehe kein Problem.

      PS: Debian gefällt mir. Hätte aber auch eine andere Distribution nehmen können.

      0
      Von Idiotenpfleger am Di, 27. November 2018 um 12:50 #

      Tja, was hat es ihnen genützt? Zum Beispiel dahingehend dass sie ca. 100 Millionen Gewinn pro Jahr machen?
      Also wird es sie in 10 Jahren noch geben. Gibt es Debian in 10 Jahren noch? Hoffentlich nicht. Damit hätten wir schon ne Menge Hardliner weniger in der Linux-Gemeinschaft

      0
      Von Peekaboo am Mi, 28. November 2018 um 01:18 #

      ich weiß ja nicht. Debian ohne Ian ist ein bischen, wie Apple ohne Jobs.

    0
    Von Michael Stehmann am Di, 27. November 2018 um 11:46 #

    Es gibt keine "Debian-Lizenz".

    Es gibt die Debian Free Software Guidelines, die beschreiben, welche Pakete nach "main" dürfen. Daneben gibt es, für Pakete, die dieses Guidelines nicht entsprechen, noch "non-free" und "contrib".

    Wo ist also das Problem?

    Es wird Debian doch gerade vorgeworfen, im Interesse der Nutzer beispielsweise auch proprietäre Treiber zu distribuieren.

    Sie machen es und sie werden damit wohl auch nicht aufhören, auch wenn sie natürlich lieber Software paketieren, die Freie Software ist.

    0
    Von 404namenotfound am Di, 27. November 2018 um 12:35 #

    Hi.

    Kannst Du da konkreter werden bei einem Deiner Beispiele? Auf die Schnelle finde ich eher gegenteilige Aussagen, z.B. dass Dell Omnipath unterstützt. Siehe https://communities.intel.com/thread/121662

0
Von Debianuser am Di, 27. November 2018 um 19:39 #

Ihr oder ein Debian Maintainer könnte dazu ja mal einen Artikel schreiben.

Mich würde hier vor allem folgendes interessieren:

1. Kopiert man den ganzen Quellcode eines Projekts einfach nach Upstream oder kopiert man nur einen diff zwischen dem alten Quellcode von Upstream und dem neuen Quellcode des Projekts nach Upstream?

2. Gibt es einen Code Audit? Wer liest den neuen Code? Wie achtet man darauf und wer achtet darauf, dass keine Malware eingeschleust wird?

3. Gibt es ein tatsächliches Mehraugenprinzip damit Quellcode für die Paketierung freigeschaltet wird oder verlässt man sich bei einem beliebigen Paket auf einen einzelnen Debianmaintainer?

4. Wenn der Quellcode in Upstream angekommen ist, was passiert dann dort, wie geht es von dort weiter?

5. Wie sieht es bei Sicherheitslücken in Stable und Testing aus, wer macht da einen Code Audit? Gibt's da ein Mehraugenprinzip?

6. Wie kommen komplett neue Software Pakete nach Debian? Welche Schritte sind da nötig?

7. Wie wird man Debian Maintainer? Welche Aufgaben hat man als Maintainer, welchen Zeitbedarf, was muss man alles tun, welche Tools stehen einem als Hilfe zur Verfügung?

8. Werden alle > 30000 Pakete gleichermaßen behandelt oder gibt es unterschiede beim Code Audit, Mehraugenprinzip, Qualitätsmanagement?

9. Falls kein Mehraugenprinzip gibt, wie verhindert man, dass ein Mainteiner, der sich das Vertrauen erschlichen hat, in dem er bspw. 20 Softwarepakete ausgezeichnet pflegt und wartet beim 21 Malware einbaut?

Es wäre doch mal toll, wenn man über den ganzen Debianprozess von der Software von irgendeinem git Entwickler Repository bis in ein Paket für Debian Stable in einem umfangreichen mehrseitigen Artikel beschreiben könnte.

  • 0
    Von Ede am Di, 27. November 2018 um 20:49 #

    Ja, das alles ist sehr interessant. Ein bisschen findet du hier:

    https://wiki.debian.org/de/FrontPage?action=show&redirect=StartSeite

    Ein gut verständlicher "mehrseitiger Artikel" wäre dazu aber sicher nicht schlecht.

    0
    Von Michael Stehmann am Mi, 28. November 2018 um 13:56 #

    Ziemlich viele, aber auch berechtigte Fragen.

    Fangen wir einmal mit dem "Personal" an:

    Auch wenn es einige Debian Developer (DD) gibt, die von Unternehmen für ihre Tätigkeit bei Debian bezahlt werden, ist Debian grundsätzlich ein Freiwilligenprojekt. Jeder DD entscheidet selber, welche Pakete er packen will und gegebenenfalls auch nicht mehr packen will. Es gibt ein paar Ratschläge, wie der, das man Programme packen sollte, die man auch selbst nutzt, aber verbindlich ist dies nicht.

    Debian Maintainer wird man, indem man Debian-Pakete packt. Die darf man dann aber noch nicht hochladen, sondern muss sich einen DD als "Sponsor" suchen, der diese Pakete kritisch prüft und dann hochlädt. Macht einem das Paketieren Spass und liefert man saubere Arbeit ab, kann man einen Prozess durchlaufen mit Empfehlungen von DD und Prüfungen durch DD, an dessen Ende man selbst DD wird.

    Daneben kann man auch DD ohne das Recht werden, Pakete hochladen zu dürfen, wenn man andere für Debian nützliche Arbeiten verrichtet.

    Zunächst einmal muss der Code, der von Upstream kommt, signiert sein, damit man einen Verantwortlichen hierfür benennen kann. Dieser Code wird bei jeder Version eines jeden Paketes (als Sourcecode) auch hinterlegt, sodass jedermann ihn einsehen kann. Auch die Dateien, die man zum Paketbauen hinzufügt, werden (als Sourcecode) hinterlegt.

    Man kann also jederzeit ein Paket nachbauen. Ein solcher Nachbau geschieht durch Dritte auch bei über 90% aller Pakete und zwar in der Weise das ein bitgleiches Binärpaket herauskommt.

    Auch muss der DD, der ein Paket zur Veröffentlichung hochlädt, dieses auch selbst signieren. man kann also jederzeit nachprüfen, wer es zu verantworten hat.

    Ein Codereview durch den DD ist nicht in allen Fällen praktikabel möglich. Man denke einmal an den Linux-Kernel oder an LibreOffice. In der Regel gibt es aber ein gute Arbeitbeziehung zwischen dem DD und "seinem" Upstreamprojekt.

    Man kann sagen, dass bei Debian Sicherheit durch Transparenz gewährleistet werden soll (s. a. "Wir werden unsere Fehlerdatenbank für alle Zeiten öffentlich betreiben. Fehlermeldungen, die von Personen online abgeschickt werden, werden unverzüglich für andere sichtbar. " Ziffer 3 des (Debian-)"Gesellschaftsvertrages" mit der Gemeinschaft für Freie Software).

    Hierzu gehört auch, dass alle Pakete in "main" nicht nur Freie Software sind, sondern auch alle Abhängigkeiten und vor allem auch Build-Abhängigkeiten Freie Software (also andere Pakete in "main") sein müssen.

    Es gibt bei Debian auch ein Security-Team. Und es gibt die "ftp-master".

    Ich bin bei Debian nur "Zaungast", finde es aber beeindruckend, welche Mühe sich ein Freiwilligenprojekt mit vertrauensbildenden Maßnahmen gibt.

    Ein "opus magnum" (wie es dies für apt bereits gibt) zum Paketbau fehlt tatsächlich noch.

    • 0
      Von Debianuser am Mi, 28. November 2018 um 15:14 #

      Super Antworten, vielen Dank.

      Mit "Upstream" meinst du den Code der Entwickler, also bspw. beim LibreOffice Projekt der Code, dem man von der Projektwebseite downloaden kann.
      Mit "Upstream" meinst du nicht Debian Sid/unstable.
      Ist das so richtig?


      Zunächst einmal muss der Code, der von Upstream kommt, signiert sein, damit man einen Verantwortlichen hierfür benennen kann.
      ...
      Ein Codereview durch den DD ist nicht in allen Fällen praktikabel möglich. Man denke einmal an den Linux-Kernel oder an LibreOffice. In der Regel gibt es aber ein gute Arbeitbeziehung zwischen dem DD und "seinem" Upstreamprojekt.
      Es besteht also die Möglichkeit, dass ein Debian Developer Code mit enthaltener Malware signiert und der ist dann dafür verantwortlich? Ist das so richtig?

      Ebenso wird nie jemand davon etwas erfahren, wenn niemand den signierten Code überprüft bzw. einem Code Audit überprüft.

      Gibt es wenigstens einen Codevergleich des Codes von Upstream also der Projektwebseite und dem, welcher der DD dann signiert und nach SID/unstable hochlädt?

      Dürfen DD Pseudonyme haben oder müssen sie immer ihren realen Namen angeben und falls letzteres zutrifft, wie wird das überprüft dass die Angaben auch wirklich stimmen?

      Ich könnte mir gut vorstellen, das Geheimdienste Entwickler stellen, die sich dann als DD bewerben und einschleusen um dort dann Code zu platzieren, der für sie die Systeme öffnet.

      Gab es schon einmal den Versuch von Dritten, allen Code in Debian einem Code Audit zu unterziehen?

      • 0
        Von klopskind am Mi, 28. November 2018 um 19:58 #

        Ich bin zwar eine andere Person, aber antworte dir trotzdem.

        Mit "Upstream" meinst du den Code der Entwickler, also bspw. beim LibreOffice Projekt der Code, dem man von der Projektwebseite downloaden kann.
        Mit "Upstream" meinst du nicht Debian Sid/unstable.
        Ist das so richtig?
        Ja genau, "Upstream" sind Projekte oder Unterprojekte wie LibreOffice, Firefox, GNOME, GTK, glib, X.org, Qt, GCC, glibc, Perl, CPython, PyPy , bash, ISC DHCP, Apache HTTP Server, exim, postfix, pulseaudio, VLC, GNU coreutils, curl, wget, mawk, gawk, Vim, GNU Emacs, XEmacs usw.
        Distributionen werden manchmal auch aus "Downstream" bezeichnet.

        Es besteht also die Möglichkeit, dass ein Debian Developer Code mit enthaltener Malware signiert und der ist dann dafür verantwortlich? Ist das so richtig?
        Ja, vorsätzlich oder unabsichtlich.

        Ebenso wird nie jemand davon etwas erfahren, wenn niemand den signierten Code überprüft bzw. einem Code Audit überprüft.
        Ein Anwender könnte ungewolltes Verhalten der Anwendung beobachten, z.B. unauthorisierte Zugriffe o. Zugriffsversuche auf Ressourcen (URIs, Dateien, Deskriptoren, Interrupte, Sockets, Geräte etc.). Meistens ist es dann aber schon zu spät.
        Es hilft, Software zunächst in einer abgesicherten Umgebung zu analysieren, z.B. mit chroot, strace etc. Der Quelltext ist hierfür nicht unbedingt nötig.
        So funktioniert es im Prinzip auch für closed-source Anwendungen.

        Gibt es wenigstens einen Codevergleich des Codes von Upstream also der Projektwebseite und dem, welcher der DD dann signiert und nach SID/unstable hochlädt?
        Ja klar! Lade und entpacke das Quellpaket und den Quelltext von "upstream" und verwende diff(1) und patch geschickt. Laut Paketrichtlinien befnden sich bei Debian alle Patches/Differenzen zu "upstream" im Unterordner "debian/patches" des Quellpakets.

        Dürfen DD Pseudonyme haben oder müssen sie immer ihren realen Namen angeben und falls letzteres zutrifft, wie wird das überprüft dass die Angaben auch wirklich stimmen?
        IMHO: Soweit mir bekannt, nein. Man wird nur DD wenn DDs deinem DD-Schlüssel für die Signatur ihr Vertrauen aussprechen. Das geschieht momentan technisch via PGP. Dabei muss zwangsläufig auch die Identität verifiziert werden, was bisher nur persönlich auf Entwicklertreffen passiert. Man muss also zwangsläufig das Vertrauen der bestehenden DDs haben.

        Die beste Möglichkeit die Identität/Authentizität zu fälschen, wäre vermutlich an den privaten Schlüssel eines DDs zu gelangen. Allerdings würde dieser sehr schnell erkennen, dass sein Schlüssel kompromittiert wurde, falls damit tatsächlich Schabernack betrieben würde. In dem Fall kann er und den Schlüssel unwiderruflich zurückziehen (PGP). All diese "unerwünschten"/"mutwilligen" Änderungen können andere DDs im Nachhinein via Versionsverwaltung rückgängig machen.
        Es ist zu erwarten, dass die Dauer bis so etwas auffällt, deutlich kürzer als ein Freeze von testing bis zum darauf folgenden stable-Release ist.

        Ich könnte mir gut vorstellen, das Geheimdienste Entwickler stellen, die sich dann als DD bewerben und einschleusen um dort dann Code zu platzieren, der für sie die Systeme öffnet.
        Korrekt. Meist passiert das allerdings eher direkt bei "upstream" oder schon viel früher auf viel subtilere Art und Weise. Siehe auch den Verweis auf einen Vortrag von Poul-Henning Kamp zu von Snowden enthüllten NSA-Operation ORCHESTRA in meinem Kommentar unten.

        Debian verwendet hier mWn die "best practices" im Vergleich zu vielen anderen OSS-Projekten, und ist somit i.A. nicht das schwächste Glied der Kette.

        Gab es schon einmal den Versuch von Dritten, allen Code in Debian einem Code Audit zu unterziehen?
        Alle "upstream"-Entwickler teilen sich die Aufgabe, oder? :D
        Spaß beiseite: Ein Formaler Audit aller ~100Mio. Quelltextzeilen Debians wären mir nicht bekannt. Mir dünkt, als gab es einmal (vorher abgesprochene) Massenmeldungen von Fehlerberichten die durch statische Analysewerkzeuge entdeckt wurden. Finde dazu aber gerade nichts.

        • 0
          Von Debianuser am Mi, 28. November 2018 um 20:31 #

          Danke für deine Antworten.


          Ja klar! Lade und entpacke das Quellpaket und den Quelltext von "upstream" und verwende diff(1) und patch geschickt. Laut Paketrichtlinien befnden sich bei Debian alle Patches/Differenzen zu "upstream" im Unterordner "debian/patches" des Quellpakets.

          Ja, ich meinte jetzt ob das jemand macht. Nicht ob es dafür Tools gibt. diff und patch kenne ich.


          Dabei muss zwangsläufig auch die Identität verifiziert werden, was bisher nur persönlich auf Entwicklertreffen passiert. Man muss also zwangsläufig das Vertrauen der bestehenden DDs haben.

          Die beste Möglichkeit die Identität/Authentizität zu fälschen, wäre vermutlich an den privaten Schlüssel eines DDs zu gelangen...

          Ein Geheimdienst könnte also bspw. falsche Papiere dazu benutzen um einen seiner Mitarbeiter auf einem Entwicklertreffen in das Debian Projekt einzuschleusen.
          Dass der Pass gefälscht sein könnte, das würde vermutlich keiner bemerken.
          Das Vertrauen muss dieser Mitarbeiter dann natürlich vorher noch erwerben.

          Danke für den Link zum Vortrag, ich werde ihn mir mal ansehen.

      0
      Von klopskind am Mi, 28. November 2018 um 17:19 #

      tolle Antwort :up:

    0
    Von klopskind am Mi, 28. November 2018 um 17:17 #

    Das sind mMn wirklich interessante Fragen.

    Ich assoziiere mich in keiner Weise direkt mit Debian, versuche mich aber dennoch mal an möglicherweise unzufriedenstellenden Antworten:

    1. Es wird sich in der Regel nach "upstream" gerichtet. D.h. der Code kommt von dort. Fehlerkorrekturen und allgemeine Portabilitätsverbesserungen fließen oftmals wieder zurück in die derzeit von "upstream" unterstützten Version(en) (teils mehrere gleichzeitig). Distributionsspezifische Patches, die "upstream" nicht annimmt/wartet/pflegt muss jede Distribution selbst mitführen, pflegen und an neue Versionen anpassen. Ausnahmen bestätigen die Regel.

      Es läuft bei Debian im Wesentlichen, wie bei anderen Distributionen. Ich denke, dass es hier sowohl Regeln als auch Ausnahmen gibt.

      Einerseits sitzen allen Distributionen aufgrund ihres pathologisch-typischen Ressourcenmangels ("man power") mehr oder minder im selben Boot. D.h. etwaige Differenzen zu "upstream" müssen mittel- oder langfristig minimiert werden.

      Andererseits wären alle Distributionen sehr ähnlich, würden sie hier die selben Maßstäbe ansetzen. Die Herangehensweise und die Philosophie des "upstreaming" unterscheidet sich also von Distribution A zu B.

      So sind für gewöhnlich Rolling-Realease- oder Community-Distributionen und Distributionen mit vergleichsweise kleinen Beitragenden (z.B. Arch, Gentoo, Slackware) im Wesentlichen darauf angewiesen direkt "upstream" zu kopieren (ugs. auch "vanilla" genannt). Es gibt höchstens den ein oder anderen Unterschied bei der Konfiguration oder Kompilieren.

      Distributionen mit längeren Veröffentlichungszyklen, anderen Unterstützungsmodellen und mehr Verpflichtungen zur Aufrechterhaltung von Abwärtskompatiblitäten (z.B. RHEL, SUSE, Ubuntu, Debian) haben in der Regel größere Differenzen zu "upstream". Sie konservieren den Stand (Version) von "upstream" für ihre Anwender und Kunden. Das schafft einerseits Freiheit, Unabhängigkeit ggü. "upstream" und nötige Langzeitkontrolle über die Software, führt aber eben auch zu Verantwortlichkeit und Pflegezuständigkeit jener Pakete.

      Bis auf Korrekturen schwerer Fehler oder Sicherheitsfehler gibt es keine Updates - alles bleibt stabil. Ausnahme bilden schwer zu wartende, komplexe Projekte, wie Firefox. Viele dieser Fehlerkorrekturen sind aber minimalistischer Natur und nicht distributionsspezifisch. Daher werden sie zu meist "upstream" angenommen, falls der jeweilige Paket-Maintainer das für nötig erachtet und die hierfür nötige Arbeit erledigt. Zu meist haben Maintainer einen guten Draht zu "upstream" und wissen, was dort vor sich geht. Das ist aber keine Notwendigkeit und hängt auch von der Kooperationsbereitschaft des "upstream"-Projekts/Entwickler selbst ab. So bietet bspw. Gentoo diverse Patches zu Wine, die "upstream" bisher nicht angenommen wurden.

      Dann gibt es die distributionsspezifischen Patches einzelnener oder mehrerer Pakete. So werden bspw. gepatcht: Kernel (für Treiberunterstützung bei RHEL und Derivaten oder kpatch, kgraft, Ksplice), diverse Pakete für SELinux, PAM oder OpenSSL (+- FIPS-Unterstützung), paketübergreifende (einheitlichere/funktionsverknüpfende) Konfiguration von Software oder Richtlinien und Systemvorgaben, vermutlich patentverletzende oder anderweitig illegale Software-Bestandteile oder -Funktionen (Codecs, TrueType etc.) werden mittels Patches "chirurgisch entfernt" usw.

      Dann gibt es noch die distributionsspezifischen Projekte/Pakete, für die die jeweilige Distribution selbst "upstream" ist. Das ist für vor Allem für die kommerziellen Distributionen üblich (SELinux-Kram+firewalld+yum/dnf bei RHEL, zypper+Yast-Geraffel+susefirewall bei SUSE, (zu Beginn) AppArmor+ufw bei Ubuntu). Untypischerweise ist aber auch Debian als Vertreter der Community-Distros hierfür bekannt (Ausprägung früher stärker als heute): Da wären hat da bspw. die dash, eigene initramfs-Skripte, Paketmanager, dkms, eglibc, exim als Standard-MTA, FHS etc.
      Selbst die Toolchain (binutils, gcc, ld, glibc...) enthält mitunter distributionsspezifische Differenzen.


    2. Das tut "upstream" idealerweise. Im Optimalfall tut das auch ein Paket-Maintainer(-Team). Das kommt auch auf die Nähe des Maintainers zu "upstream", der Komplexität und Ressourcen an. Es erscheint ratsam, davon auszugehen, dass Maintainer keine zusätzlichen Audits vornehmen.

    3. In Debian braucht es neben einem Maintainer mindestens einen DD (Debian Developer), der das Paket akzeptiert. Die Pakete sind signiert, sodass Zuständigkeit & Verantwortlichkeit auch im Nachhinein ermittelt werden können. Im schlimmsten Fall könnten DM oder DD ihren Status im Projekt verlieren.

      Von dort ist das Paket zunächst im Entwicklungszweig unstable/sid oder experimental. Die nötige Build- und Paket-Infrastruktur des Debian-Projekts kann formale Fehler erkennen. Statische Quellcode-Analysen können durchgeführt werden.

      Bspw. sind Pakete reproduzierbar in ihrer Erstellung (mit Ausnahmen) und können während der Installation keinen weiteren Code nachladen (Ausnahmen hier sind Pakete, welche lizenzrechtlich problematisch sind, und technischer Tricks bedürfen, um legal installiert und genutzt werden können - z.B. manche Firmware, Flash-Player oder gängige Schriftarten von Microsoft).

      Von den Entwicklungszweigen müssen die so akzeptierten Pakete zunächst über den testing-Zweig bis sie schlussendlich im stable-Zweig landen. Bis dahin werden sie optimalerweise von Entwicklern, Admins und Anwendern durch die ein oder andere Art und Weise getestet oder auf Herz und Nieren überorüft.
      Ein Ersatz für formale Audits ist dies jedoch nicht. (F)OSS funktioniert nach meritokratischen Prinzipien des "best effort".


    4. Diese Frage verstehe ich leider nicht.

    5. In stable sind Paket-Maintainer oder das Security-Team für die Behebung von Sicherheitsproblemen zuständig. Soweit mir bekannt, führt das Security-Team nur in sehr begrenztem Ausmaß Audits durch. Hauptaufgabe ist eher die zeitnahe Lösung unter Verschluss gemeldeter oder öffentlich bekannten Sicherheitslücken. Die Meldung geschieht meist über einschlägige Mailinglisten der Szene für OSS-Security, wie bugtraq oder Full Disclosure, oder aber über MITRE-CVEs. Das Security-Team von Debian ist Teil (einer Auswahl) jener Mailinglisten.

      Testing wird hier eher stiefmütterlich gehandhabt, außer während des Freeze vor einem Release. Dazu finden sich auch Aussagen im Debian-Wiki über das Security-Team oder die passende Wahl und Unterschiede der einzelnen Zweige


    6. Software/Pakete müssen die DFSG-Richtlinien erfüllen. Es braucht einen eingetragenen Maintainer und einen DD. Ein Paket ohne reagierenden Maintainer gilt als verwaist, und wird nach einer Frist entfernt.
      Neue Pakete können nur in experimental oder unstable/sid einfließen, nicht aber in testing oder stable. Bei den backports bin ich mir gerade unsicher.

    7. Mangels Erfahrung kann ich nur eine Internet-Suche und das Debian-Wiki zum Thema "Debian Maintainer" verweisen.

    8. Jein! Soweit mir bekannt, gibt es keine Regeln dazu, bestimmte Pakete unterschiedlich zu behandeln. Prinzipiell werden also alle Pakete gleich behandelt.
      Fakt ist, dass gewisse Pakete (z.B. Dokumentations- oder Meta-Pakete) theoretisch keiner Audits bedürfen. Gewisse Pakete bieten natürlich eine viel größere Angriffsfläche, sodass der Fokus auf solchen Paketen liegt. Das betrifft bspw. alles, was netzwerkt, Eingaben liest und auswertet/ausführt (Codecs, Dokumentenbtrachter), Message-Passing zwischen installierten Anwendungen betreibt (DBus), Systemereignisse verarbeitet, kontrolliert und darauf reagiert oder für die Einhaltung von Systemrichtlinien sorgt (shadow, sudo, PAM, PackageKit).

      Qualitätsmanagement liegt in der Hand der Entwickler ("upstream"), DMs und DDs. Es richtet im Wesentlichen sich nach der absoluten Aktivität der erreichten Nutzer den Ansprüchen. Eigene Infrastruktur für QA (wie z.B. openSUSE) besitzt/nutzt Debian mWn nicht.


    9. (Siehe auch 3.) Es lässt sich nicht mit Sicherheit verhindern. Das Problem taucht überall in der ein oder anderen Form auf. Es nennt sich Vertrauen. Debian setzt auf möglichst transparente und vertrauensbildende Prozesse, welche leider oft langwierig und mühselig sind.

      Die Frage ist viel eher, ob sich Malware nicht anders viel leichter und schneller verbreiten ließe. Es hat sich gezeigt, dass der gemeine Angreifer (Blackhat), wenn er kein spezielles Ziel angreifen möchte, erfahrungsgemäß den Weg des geringsten Aufwands und der geringsten Kosten wählt. Sich erst als DM so vieler Pakete Vertrauen zu verschaffen, ist viel zu aufwändig. Man könnte auch social engineering bei bestehenden DMs oder DDs betreiben, zur Not mit dem Schraubenschlüssel.
      Die meisten Sicherheitslücken werden dort eingeschleust, wo entwickelt wird. Oder noch viel eher: in den Diskussionen, Entwürfen, Standards, Entwicklungsprozessen samt Ablenkungsmanövern - sprich: in den Köpfen (oder schon in der Hardware).
      Außerdem hätte man lediglich Die Nutzer eines bestimmten Debian-Pakets infiziert. Die Reichweite der Malware wäre vergleichsweise gering. Es geschieht viel subtiler.

      Ich empfehle dir bspw. Reflections on Trusting Trust zu lesen. Empfehlenswert ist außerdem ein Vortrag von Poul-Henning Kamp auf der FOSDEM 2014 über das von Snowden enthüllte ORCHESTRA-Programm. Sicherheit basiert auf Vertrauen, wenn man nicht alles selbst macht ("If you wish to make an apple pie from scratch you must first invent the universe" - Carl Sagan). Vertrauen ist kein technisches, sondern ein soziales Thema/Problem.

    Hoffe, es hilft...

    Es wäre doch mal toll, wenn man über den ganzen Debianprozess von der Software von irgendeinem git Entwickler Repository bis in ein Paket für Debian Stable in einem umfangreichen mehrseitigen Artikel beschreiben könnte.
    In der Tat!


    Disclaimer: Bei obigen Antworten handelt es sich lediglich um meine eigene, persönliche Meinung. Meine Aussagen sind ohne Gewähr.

Pro-Linux
Traut euch!
Neue Nachrichten
Werbung