OpenBSD's IPSEC drama

Flere af jer har email'et mig for at få mig til at skrive om OpenBSD IPSEC dramaet.

Jeg har ikke noget at sige som Dag-Erling ikke allerede har sagt bedre.

Occams ragekniv siger at man skal søge den simpleste forklaring og hvis jeg har valget imellem en forklaring der involverer FBI og NDA'er der totalt fordamper efter 10 år eller en der involverer personfnidder i OpenBSD projektet er der ingen tvivl om hvad der lyder mest sandsynligt for mig.

Selvfølgelige skal koden gås igennem med en tættekam, ikke på grund af disse rygter, men fordi det er kode der er kritisk for sikkerheden en masse steder.

phk

Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Poul-Henning Kamp Blogger

Det er rigeligt. Der er forskel på om man man kigger efter noget specielt, eller om man bare lige checker generelt.

Enten bliver den bounty udbetalt indenfor en måneds tid, eller også aldrig.

Og don't knock it, $2000 er rigtig mange penge for en IT studerende i indokina...

Poul-Henning

Morten Wegelbye Nissen

Syntes du det er overvejende sandsynligt at sådan noget kan rindende sted?
Ikke så meget den, måske lidt eksotiske, konkrete sag.
Kan du forstille dig at det her er en svaghed ved open source? Når bidragene kommer alle mulige steder, hvad er risikoen for skjulte dagsordener?

Jesper Poulsen

Når bidragene kommer alle mulige steder, hvad er risikoen for skjulte dagsordener?

Der er bare nogle kodebaseadministratorer der ikke har gjort deres arbejde godt nok.

Risiko'en for bagdøre er langt større i proprietær software hvor ingen andre har mulighed for at kigge koden efter i sømmene.

Morten Jensen

@Jacob Hansen

Hvem har ansvaret for et stykke software, som en masse har arbejdet på og hvor enkelte dele ikke nødvendigvis altid kan spores til den der har lavet det?

I alle de seriøse open source projekter jeg kender til, bruger man et network of trust. I udviklingen af Linux-kernen f.eks., har Linus en håndfuld betroede "officerer" med hvert deres ansvarsområde (netværk, filsystem osv.).
De får lov at bestemme hvem der må committe til de dele, der hører under deres område, og har derefter ansvaret for det. Det er lidt simpelt forklaret, men se evt. Linus' tech talk om Git, hvor han forklarer yderligere.

I andre projekter har man ofte en udvalgt håndfuld betroede, med commit-access, som hver især skal godkende bidrag til kodebasen før det committes.

Jeg kender ingen projekter, hvor det er muligt som udefrakommende, at bidrage væsentligt, eller til kritiske dele, uden at være screenet/vurderet af "de betroede".

Så for at svare på dit spørgsmål "hvem har ansvaret?": det har ham der har godkendt bidraget og committet/pushet det til master branchen.

Log ind eller Opret konto for at kommentere