Open Source

Cees de Groot cg at CDEGROOT.COM
Thu Sep 19 16:10:47 CEST 2002 

REPLY TO: D66 at nic.surfnet.nl

Aris  B. <B.Aris at tk.parlement.nl> said:
>Wat dat betreft is er geen verschil tussen Open Source of een veelgebruikt
>Closed Source-systeem als Microsoft Outlook; tot nu toe is het zo dat de
>gevaarlijkste en virulentste virussen en wormen op Outlook zijn losgelaten.

In principe niet. Maar: voor Open Source gaat het adagium op dat twee meer
zien dan een - vele ogen die door de source code gaan hebben ervoor gezorgd
dat zeer veel security holes in Open Source code gevonden en gefixt werden
voordat ze 'exploitable' waren. Het meest extreme is OpenBSD, onderwerp van
voortdurende openbare audits en daarom zeer resistent tegen hackers en
virussen. Er zijn verschillende studies gedaan waaruit blijkt dat de Open
Source aanbieders vele malen sneller en - altijd belangrijk in de
securitywereld - transparanter gereageerd hebben. Een work-around is meestal
binnen een aantal uren beschikbaar, een patch binnen 24 uur, en de aanbieders
(bijvoorbeeld bij Linux de distributiemakers zoals RedHat, SuSE) volgen
meestal nog geen dag later met updates. Dus zowel technisch als
organisatorisch heeft Open Source hier voordelen.

>Als Linux voor meer dan 50% van de mondiale gebruikers de norm wordt, kan
>daarmee hetzelfde gebeuren: "De duivel schijt altijd op de grote hoop".

In principe wel. Maar: Apache is al jarenlang absolute marktleider. IIS
is al jarenlang *niet* de 'grote hoop'. Ik geloof dat we nu de eerste
Apacheworm zien, bij IIS ben ik de tel kwijt. Blijkbaar heeft de openbaarheid
van softwareontwikkeling bij Apache ervoor gezorgd dat mensen vroegtijdig bugs
hebben gesignaleerd en verwijderd.

(overigens: op het gebied van Closed Source is Microsoft ook wel een exponent
in negatieve zin - ik kan het weten, ik heb ooit een paar weken in Redmond
gezeten en daar van dicht bij meegemaakt wat voor rommeltje ze er van bakken;
van 'software engineering' is nauwelijks sprake, features worden er ad-hoc
ingeplakt door junior medewerkers, de sourcecode is een bende, en niemand is
verantwoordelijk. Maar ook Sun en andere aanbieders hebben een duidelijk
slechtere performance op security gebied, gewoon omdat ze bang zijn voor gek
te staan door domme bugs (en, in de US, advocaten achter zich aan krijgen),
dus daarom graag het vuil onder het tapijt schoffelen, terwijl in de Open
Source gemeenschap zo'n strategie niet eens een optie is.)

>Wie bang is voor die monitoring moet gewoon van de computer afblijven en zijn
>post per postduif versturen.
>
Ach, een veilig OS installeren met GnuPG encryptie voor je mail is al
een forse stap in de goede richting...


--
Cees de Groot               http://www.cdegroot.com     <cg at cdegroot.com>
GnuPG 1024D/E0989E8B 0016 F679 F38D 5946 4ECD  1986 F303 937F E098 9E8B
Cogito ergo evigilo

**********
Dit bericht is verzonden via de informele D66 discussielijst (D66 at nic.surfnet.nl).
Aanmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SUBSCRIBE D66
Afmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SIGNOFF D66
Het on-line archief is te vinden op: http://listserv.surfnet.nl/archives/d66.html
**********

More information about the D66 mailing list