Login
Newsletter
Werbung

Thema: NSA will Code zum Coreboot-Projekt beitragen

16 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von schmidicom am Di, 25. Juni 2019 um 14:13 #

Jeden Beitrag ganz genau begutachten bevor er in den Upstream wandert.

  • 3
    Von Heldinger am Di, 25. Juni 2019 um 14:39 #

    Ich bin eher der Auffassung, dass man Geheimdiensten schon ganz grundsätzlich nicht trauen kann.
    Es gibt eben keine guten, oder schlechten Geheimdienste, sondern lediglich extrem in­trans­pa­rente Konstrukte.
    Und wenn die am Anfang keinen schädlichen Code einschleusen, denn eben später wenn ein "gewisses Grundvertrauen" aufgebaut wurde.

    Deswegen, Geheimdienste abschaffen!

    • 3
      Von blablabla233 am Di, 25. Juni 2019 um 14:45 #

      Klar abschaffen.....das wird nicht/nie geschehen und das ist auch gut so.
      Aber dass sie transparent und von demokratisch gewählten stellen durch und durch geprüft werden müssen sollte eigentlich zugunsten jedes Staates sein der sich "westlich" und "demokratisch" nenne.

      PS: Das westlich war ironisch....das demokratisch vllt auch ;)

      1
      Von Ghul am Di, 25. Juni 2019 um 15:17 #

      Kein Geheimdienst ist so dämlich und würde unter dem eigenen Namen schädlichen Code einschleusen.
      Wenn er das macht, dann macht er das als Pseudonym von einem privaten Heiminternetanschluss.

      Den Code, der offiziell vom Geheimdienst kommt, muss man aber trotzdem prüfen.

      2
      Von linux-nutzer am Di, 25. Juni 2019 um 16:07 #

      Es ist egal, wer Code einreicht, ein Code Review sollte sowieso immer stattfinden, bevor gemergt wird. Unabhängig davon, wer den Code einreicht.

      • 1
        Von Heldinger am Di, 25. Juni 2019 um 16:42 #

        Es ist egal, wer Code einreicht, ein Code Review sollte sowieso immer stattfinden, bevor gemergt wird. Unabhängig davon, wer den Code einreicht.

        Das ist eben der Unterschied zwischen Anspruch und Wirklichkeit.
        Es finden zu wenig Code Reviews und unabhängige Audits statt.

        • 1
          Von blubb am Mi, 26. Juni 2019 um 07:40 #

          Dann ist das aber die Stelle an der man ansetzen sollte und nicht stupide Code von diversen Organisationen verweigern.

          Open Source heißt erst mal, dass jeder mitmachen darf.
          Im Zweifelsfall machen sie das eben in ihrem eigenen Branch.

          Und wenn der dann am Ende deutlich mehr HW Unterstützung, Fixes etc. enthält, dann fangen Leute an den Branch von der NSA statt dem ursprünglichen Code zu nutzen und dann hast du den Salat auch … nur diesmal komplett ohne vernünftiges Review (kann man natürlich immer noch durchführen, aber das muss dann ja auch erst mal einer machen).

          Dann also doch lieber mitarbeiten lassen aber für vernünftige Reviews sorgen.

          • 1
            Von Bulli am Mi, 26. Juni 2019 um 10:30 #

            Neuer Branch bedeudet doch Fork oder? Soweit ich weis muss das Projekt dann auch unbenannt werden, wie bspw. beim Wine / Proton Project. Und wenn Dinge gut ankommen, dann fliesst das meiste auch wieder zurück zum Ursprung. Spätestens da wird jede Zeile überprüft. Also ich halte das für nahezu unmöglich Software die unter der GPL steht manipulieren zu können. Selbst bei einem so komplexen Projekt wie dem Linuxkernel.

            • 1
              Von blubb am Mi, 26. Juni 2019 um 14:24 #

              Wenn Namensrechte und die Nutzung dieser Namen eingetragen und reserviert sind schon, ansonsten nicht.

              Aus der Lizenz heraus gibt es jedenfalls keinen Zwang ein Projekt umzubenennen.
              Man macht es meistens allerdings um sich abzugrenzen.

    1
    Von blablabla233 am Di, 25. Juni 2019 um 14:41 #

    Selbst die NSA ist nicht so dumm einen commit mit nsa-email zu senden der ein backdoor hat. Wenn Du Code einschleusen willst dann bitte über einen gut bezahlten langjährigen Mitarbeiter.

    1
    Von Hexmex am Di, 25. Juni 2019 um 14:51 #

    Offizielle Beiträge der NSA dürften wohl weniger das Problem sein.

    Mehr zu denken würde mir Intels "Management Engine (Intel® ME)" geben. Das ist nicht dokumentiert, von der CPU unabhängig, hat Zugriff auf Netzwerkgeräte, RAM und Hardware Crypto Engines. Und das alles während der Rechner ausgeschaltetist , dass Mainboard aber mit Spannung versorgt wird.

    • 0
      Von schmidicom am Di, 25. Juni 2019 um 15:02 #

      Mehr zu denken würde mir Intels "Management Engine (Intel® ME)" geben. Das ist nicht dokumentiert, von der CPU unabhängig, hat Zugriff auf Netzwerkgeräte, RAM und Hardware Crypto Engines. Und das alles während der Rechner ausgeschaltetist , dass Mainboard aber mit Spannung versorgt wird.
      Klar, solche Dinge sind noch schlimmer und müssen unbedingt bekämpft (oder zumindest immer wieder öffentlich angeprangert) werden aber deswegen darf die Wachsamkeit bei eben so etwas wie dem hier (Geheimdienst macht bei OpenSource mit) nicht nachlassen.

Pro-Linux
Traut euch!
Neue Nachrichten
Werbung