Open source-udvikler efter fiffig test: Folk læser faktisk min kode

Ved at indsætte kodede beskeder fandt dansk open source-udvikler frem til, at i hvert fald nogle faktisk benytter den frie software-adgang til at læse hele kildekoden.

Nogle vil mene, at det fine ved open source-software er, at alle kan kigge koden igennem og finde fejl og mangler. En minutiøs kodegennemgang sker dog ikke altid i praksis.

Eksempelvis udsprang den alvorlige Heartbleed-sårbarhed, der sidste år viste sig at påvirke adskillige webservere, af en fejl i den åbne software OpenSSL, som alle i princippet har kunnet kigge på.

Mangeårig udvikler af fri software og modstander af softwarepatenter Ole Tange har testet, om nogen faktisk læser koden i et langt - sammenlignet med OpenSSL - mindre projekt, han selv er hovedudvikler på: GNU Parallel.

Småfejl bliver rettet, fordi brugerne har et incitament til at påpege og måske selv fikse dem - eksempelvis hvis æøå ikke fungerer ordentligt - men hvad med koden i sin helhed, hvem kigger egentlig den igennem?

»Jeg var klar over, der er mange, der går ind og retter småfejl. Det var jeg ikke et sekund i tvivl om. Det, jeg var noget mere interesseret i, var, hvor mange der læser hele koden igennem. Også de kedelige hjørner,« siger Ole Tange.

Og selvom der er hjørner i koden, som er kedelige, forstået på den måde, at de - i hvert fald i udgangspunktet - fungerer, som de skal, kan det måske stadig være en god idé at se hele koden igennem i ny og næ, hvis der nu skulle være indsat direkte skadelige kodestumper.

»En af fordelene ved fri software er, at man kan læse kildekoden for eksempelvis at se, om der er bagdøre i. Det er jo en af de ting, der - i hvert fald i disse dage - er særdeles relevant,« siger Ole Tange.

I den forbindelse satte Ole Tange helt tilbage i januar 2011 en krypteret besked ind i et område af kildekoden, hvor der ellers ikke sker nogen udvikling. Beskeden gik noget i retning af: Hvis du ser det her, så smid mig lige en mail.

For at det ikke skulle være muligt automatiseret at scanne sig frem til en kontakt-mailadresse i koden, rot13'ede Ole Tange beskeden. Rot13 - som flere læsere vil vide - er en (alt for) simpel krypteringsform, hvor et bogstav bliver flyttet 13 pladser i alfabetet.

Ole Tanges tanke med den teknik var, at mens det ville være svært at scanne beskeden frem med automatik, vil en garvet programmør, der faktisk sidder og kigger koden igennem, hurtigt spotte og knække rot13-krypteringen.

Der gik 2½ måned, før Ole Tange modtog en henvendelse fra en person, der ikke var knyttet til projektet, og som faktisk havde spottet beskeden i det kedelige hjørne af koden.

»Fint, så det bliver læst, tænke jeg. 2½ måned synes jeg egentlig var rimelig hurtigt i betragtning af, det her ikke er sikkerhedssoftware,« siger Ole Tange.

Han har sidenhen gentaget testen med rot14 - altså 14 pladser roteret - her gik der 18 måneder, før der tikkede en henvendelse ind i indbakken fra en kodelæser, der havde set beskeden.

Selvom der ikke er tale om sikkerhedssoftware, ville der i princippet ikke være noget til hinder for, at nogen satte ondsindet kode ind i produktet, som så blev afviklet på en server og forvoldte skade, medgiver Ole Tange - efter at være blevet spurgt om det flere gange af denne journalist.

Og set i det lys er det også rart, at koden bliver læst, påpeger han.

GNU Parallel er et stykke programmel, der kan parallelisere en arbejdsopgave, så eksempelvis skalering af en bunke billeder bliver sendt ud på flere kerner på en CPU.

Uden at vide det med sikkerhed vurderer Ole Tange, at omkring 50.000 anvender produktet, der fylder ca. 200 kb og et sted mellem 5.000 og 6.000 kodelinjer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kurt Frederiksen

"Selvom der ikke er tale om sikkerhedssoftware, ville der i princippet ikke være noget til hinder for, at nogen satte ondsindet kode ind i produktet, som så blev afviklet på en server og forvoldte skade, medgiver Ole Tange - efter at være blevet spurgt om det flere gange af denne journalist."

Det ligner ikke Ole Tange at undlade at svare på det spørgsmål, da han har svaret på det tusinder af gange gennem årene. Jeg vil antage at det beror på en fejl fra journalistens side, for det er spørgsmålet vi alle får når der tales om OSS. Vi forsøger alle at forklare journalisterne at man ikke "bare" sætter kode ind i et projekt og Ole er en af de bedste til det.

En anden udlægning kunne være at "journalisten" ikke følte at der var nok bid i artiklen og ønskede at fremstå mere journalistartig ved at skrive en sætning som indikerede at det ikke var et spørgsmål man ønskede at svare på.

Uanset hvad der er forklaringen er jeg helt sikker på at det aldrig har været et forsøg på at skjule noget fra Ole Tanges side, sådan som det kan læses af artiklen.

Helt tilbage til omkring 2000 kan man finde artikler hvor Ole Tange svarer på netop det spørgsmål: https://www.cert.dk/artikler/artikler/000300A019.shtml

  • 1
  • 0
#2 Jakob Møllerhøj Editor

"Selvom der ikke er tale om sikkerhedssoftware, ville der i princippet ikke være noget til hinder for, at nogen satte ondsindet kode ind i produktet, som så blev afviklet på en server og forvoldte skade, medgiver Ole Tange - efter at være blevet spurgt om det flere gange af denne journalist."

Ovenstående var nu ikke et forsøg på at udstille Ole Tange. Pointen var at illustrere, at svaret nærmest måtte fremtvinges, og at det dermed nok ikke er den side af sagen, Ole selv mener er det væsentligste. Jakob - Version2

  • 0
  • 0
#3 Kurt Frederiksen

Hvis netop det var så vigtigt for dig, hvorfor har du så ikke spurgt ind til det med uddybende spørgsmål? Jeg ved at Ole Tange er i stand til på stående fod at gennemgå alle de processer der gennemgås for at sikre kvaliteten af kode i de fleste oss projekter og også er i stand til at gennemgå digital underskrift, udveksling af nøgler, valg af underskrift algoritmer o.s.v. o.s.v.

Jeg ved at Ole uden problemer kan svare, men spørgsmålet er vist mere om du ved hvad du spurgte om. Jeg ser ikke nogen sammenhæng mellem det spørgsmål og den øvrige artikel, for det er en helt anden dagsorden uden nogen overlap.

Artiklen svare på spørgsmålet "Læser nogen faktisk open source kildekode?", men det spørgsmål du har så travlt med at stille igen og igen har intet med det at gøre, men omhandler beskyttelse af koden.

Jeg kan kun opfatte det sådan at du journalistisk har kvajede dig og ikke har forstået den fagniche du spørger ind i. Ole har så nok forsøgt at holde dig på sporet, hvilket så åbenlyst ikke er lykkedes.

Du manglede og mangler åbenbart stadig indsigt i fagområdet, så du ikke kan se at fejlen ligger hos dig og ikke hos Ole, for den kolde sandhed er at spørgsmålet ikke har noget med den artikel at gøre som du har skrevet.

Ole har så, som den venlige mand han er, forsøgt at hjælpe dig og så punker du ham for det efterfølgende.

Du skylder ham en undskyldning.

  • 1
  • 0
Log ind eller Opret konto for at kommentere