Dansk open source-udvikler: Folk kigger i min kode - i hvert fald hver 10. måned

Illustration:
Ole Tange har fundet frem til, at folk faktisk gransker hans åbne kildekode - i hvert fald hver 10. måned.

Siden 2011 har Ole Tange indsat små kommentarer i den åbne kildekode bag GNU Parallel, som skal teste, hvorvidt nogen faktisk læser koden.

Baseret på sine forsøg konstaterer Ole Tange i en pressemeddelelse, at det i gennemsnit tager 10 måneder, fra en kommentar bliver indsat, til folk reagerer på den. Også selvom der ikke som sådan er nogen anledning til lige at læse den kode-del.

»Hvis dette er repræsentativt for dele af fri software, der fungerer uden problemer, så er det meget godt,« siger Ole Tange ifølge pressemeddelelsen.

Som det bliver bemærket i pressemeddelelsen, så kan åben kildekode i udgangspunktet inspiceres af alle. Og det kan betyde, at eksempelvis en bagdør bliver opdaget og fikset.

Men for at det system fungerer forudsætter det naturligvis, at nogen kigger i koden. Det har Ole Tange testet ved at indsætte små kommentarer i GNU Parallel, som det er meningen folk skal reagerer på, hvis de ser dem.

Version2 har tidligere omtalt, hvordan Tange i koden til GNU Parallel har indsat krypterede kontaktoplysninger i kommentarer i kildekoden. De indsatte kommentarer indeholder en kontaktmail, som folk kan skrive til, forudsat de faktisk har læst koden.

rot13

Kommentarerne er kodet med helt simple algoritmer, i første omgang med rot13. Rot13 - som flere læsere vil vide - er en (alt for) simpel krypteringsform, hvor et bogstav bliver flyttet 13 pladser i alfabetet.

Ole Tanges tanke med den teknik er, at mens det ville være svært at scanne beskeden frem med automatik, vil en garvet programmør, der faktisk sidder og kigger koden igennem, hurtigt spotte og knække rot13-krypteringen.

Den første kommentar indsatte Tange 4. januar 2011. Den næste 18. august 2013. En til - nu kodet med rot14 - 19. juli 2015. Og 4. januar i år satte Ole Tange den seneste kommentar ind. Alle kommentarerne resulterede i henvendelser fra forskellige personer, der altså havde fundet frem til den skjulte besked i kildekoden.

Umiddelbart har Ole Tange ikke planer om at indsætte flere cookies, som han kalder de kodede kommentarer, i koden. I pressemeddelelsen opfordrer han dog andre til at gå videre med noget lignende.

»Jeg vil ikke love, ikke at indsætte en cookie igen - men der går nok lang tid: Jeg synes, det er på tide, andre bekræfter mine fund,« siger han i meddelelsen.

En ny udgave af GNU Parallel er klart til download i dag. Gnu Parallel er et værktøj til at eksekvere flere job parallelt på en eller flere computere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Bobjerg Juul

Ole ved faktisk ikke hvor mange hackere (black-hats) der har læst koden.
Disse hackere ville vel ikke sende en besked, de vil "bare" udnytte svagheder i koden.
Så læsning af koden og den krypterede kode, kan ske på daglig basis uden at Ole ved det.

  • 0
  • 8
Simon Mikkelsen

Men han ved at white hats læser koden!

De onde kan naturligvis også læse lukket kode. Det sker bare i binær form. Der kan man sagtens få en masse nyttig information, selvom det lige bliver en tand sværere for almindelige udviklere at kigge med.

  • 9
  • 0
Jens loggo

Det viser at der findes nogen, der kigger i hans kode, og gider sende en mail om det. Det viser ikke hvor mange der kigger i hans kode, og det viser intet om hvor meget folk kigger i open source code generelt..

Jeg kan kun tale for mig selv, men det virker som information der kun er interessant for udvikleren selv.

  • 0
  • 1
Martin Bøgelund

Ole ved faktisk ikke hvor mange hackere (black-hats) der har læst koden.
Disse hackere ville vel ikke sende en besked, de vil "bare" udnytte svagheder i koden.
Så læsning af koden og den krypterede kode, kan ske på daglig basis uden at Ole ved det.

Gisp

Du har jo helt ret!
Og endnu værre: Terrorister kan slå hans adresse op på Krak.dk, uden at besøge ham og sige hej!

Det er tankevækkende - og frygteligt - det du her afslører. Lad os straks forbyde Open Source og Krak.dk... nej, lad os forbyde det frie informationsflow på internet, før vi alle sammen bliver hacket eller slået ihjel!

  • 4
  • 3
Daniel Korsgaard

Nu er det ikke bare det at skimme gennem noget kode, der gør at man automatisk finder fejl. Men jeg forstår da godt, at folk lige ROT13'er en kommentar, da den jo skinner en i øjnene.

Oftest når jeg forvilder mig ind i noget tilfældigt open source kode, så er det primært for danne mig en ide om det her overhovedet er noget værd, eller om det har nogle vanvittige afhængigheder (som ofte er tilfældet).

Ikke for at gennemanalysere koden for at spotte om nu også samtlige input parametre er sanity checked gennem et hierarki af funktionskald.

  • 3
  • 0
Morten Jensen

Mit hobby projekt har fået omkring 20 pull-requests på github og jeg har fået mange emails om issues og spørgsmål om alt fra teknikaliteter til banaliteter.
Jeg tror det afhænger af hvor let koden er at finde med en søgemaskine, og hvor populært det viser sig at blive.
En anden faktor er helt klart også hvor mange liniers kode der skal læses. Mit library er på under 1000 liniers C-kode, og det tror jeg betyder en del for hvor mange der orker at læse det.

Jeg oprettede projektet på github i maj 2012. Det var fuldt funktionelt omkring 2013 og jeg fik min første patch tilsendt 9. december 2014. Nu bliver jeg månedligt kontaktet med spørgsmål eller patches. Jo mere aktiv jeg er, jo mere feedback får jeg på det hele generelt.

Det er min erfaring..

  • 4
  • 0
Log ind eller Opret konto for at kommentere