Bin aus aktuellem Anlass mal wieder über die Kampagne Public Money - Public Code von der FSE gestolpert und dachte mir, das werf’ ich hier einfach mal in den Raum. Falls das noch niemand gemacht hat.
Die Plattform ist auch schon aufgesetzt: https://opencode.de/ Code entsprechend hier: https://gitlab.opencode.de/explore
Ich glaub, ihr wollt gar nicht sehen, was für ein Schindluder mit ihren Steuergeldern in Code gegossen wird.
Kann ehrlich gesagt nicht schlimmer sein, als das Schindluder, das von der Wirtschaft in Code gegossen wird.
Doch, doch. Dann lässt sich das besser kritisieren und unter Umständen werden Verbesserungsvorschläge sogar wahrgenommen.
Zumindestens in einer schöneren Welt…
Das kann man nicht mal von innen (da bin ich gerade).
Die ganze Situation ist unglaublich absurd und ich versuche in meinem kleinen Bereich für Sanity zu sorgen - und es gibt auch einige Kollegen, die mitziehen. Umwelt und einige Mitarbeiter machen es einem aber sehr sehr schwer. Eigentlich sinnvolle Prozesse/Regeln wie Ausschreibungen sind aber in meiner Erfahrung auch mit Schuld an der Misere.
deleted by creator
Es geht hier doch darum, dass Software die mit Steuergeldern entwickelt wurde, auch Open Source sein soll. Im Endeffekt ist es also genau so sicher (oder unsicher) wie vorher - nur das der Quellcode veröffentlich wird.
Jaaa, aber was ist dann mit Security by Obscurity? Proprietäre Systeme sind viel sicherer, denn wenn Schwachstellen nur gut genug versteckt sind, gibt’s praktisch auch keine. /s
ELI5: Was bringt Oma Müller der Quellcode?
Kommt stark auf Oma Müller an. Hat sie eine lange Karriere in der Softwareentwicklung hinter sich, interessiert sie sich vielleicht für den Code. Wenn ihr die Enkel auf den Sack gehen, patched sie ggf. gerne zur Abwechslung einen Bug in der Software, welche die Pflegeberatungen in ihrer Stadt organisiert.
Andernfalls geht es hier nicht um Oma Müller.
Otto Normalbürger bringt veröffentlichter Code halt einfach mal gar nichts. Er versteht ihn nicht, er wird ihn niemals ansehen, er wird aller Wahrscheinlichkeit nach niemals ein Sicherheitsproblem in diesem Code finden und melden. Ich verstehe das Ansinnen und habe natürlich unterschrieben und den Hinweis weitergegeben, aber für Otto Normalbürger und nicht die Minderheit der EDV-Nerds ist ein vernünftig funktionierendes System einfach wichtiger als eine saubere Lizenz.
Ich könnte mir vorstellen, dass es für die Otto-Normal-Oma auch relevant sein könnte, dass öffentlicher Code zumindest potenziell kostspielige Doppelentwicklungen unnötig macht.
Es gibt ja wirklich viel Spezialsoftware, die irgendwo in Verwaltungen und Ämtern zum Einsatz kommt. Wenn alle öffentlichen Einrichtungen, die ähnliche Probleme zu lösen haben, eine gemeinsame offene Software entwickeln würden, dürfte das doch mittel- und langfristig kostengünstiger sein, als wenn jeder bei der lokalen Softwareschmiede ein eigenes Programm in Auftrag gibt.
Beispiel: Nahverkehrsapps. Es gibt einen unfassbaren Wildwuchs an oft total unterschiedlich funktionierenden Apps (die vermutlich jedes mal an die bestehende IT des Verkehrsunternehmens angeflanscht wurden). Grundsätzlich sollen aber ja all diese Programme mehr oder weniger das Gleiche tun. Würden da nicht auch Oma und Otto profitieren, wenn sie überall eine ähnliche App, die sich nur im Branding unterscheidet, nutzen könnten? Und wer weiß, vielleicht ließe sich auf Grundlage so einer gemeinsamen Entwicklung ja langfristig sogar eine gemeinsame Infrastruktur schaffen, sodass eigentlich überall nur noch eine App erforderlich wäre? Möglicherweise würden irgendwann auch Verkehrsanbieter aus anderen Staaten beginnen, die Anwendung mit weiterzuentwickeln.
Ich denke, viele der Vorteile offenen Codes ergeben sich erst mittel- und langfristig. Vermutlich ist das verbunden mit den initial oft etwas höheren Kosten der offenen Entwicklung, einer der Hauptgründe dafür, dass es häufig nicht gemacht wird.
Würden da nicht auch Oma und Otto profitieren, wenn sie überall eine ähnliche App, die sich nur im Branding unterscheidet, nutzen könnten?
Ja, aber…
Einfaches Beispiel: Ich wohne in einer Stadt, deren Busbetriebe natürlich offiziell der Stadt gehören. Die “offizielle” App ist scheiße, aber das API ist offen - es gibt also viele gute Apps.
Offene APIs sind gut, offene Anwendungen dann halt echt nur optional. Oder?
Ich habe den Eindruck, dass offenes API und offene Anwendungen in der Hinsicht letztlich in dieselbe Richtung deuten.
Ich gebe dir insofern recht, als dass (gerade im ÖPNV-Beispiel) die Schaffung einer offenen Plattform vermutlich erst mal mehr Mehrwert bringt als die Öffnung der Software.
Aber: Auch die Softwareplattform leidet ja daran, schlimmstenfalls nur eine Insellösung zu sein, die für einen Verkehrsverbund oder sogar nur ein Verkehrsunternehmen funktioniert. Selbst wenn die APIs einigermaßen standardisiert sind und ähnlich auch bei anderen Verkehrsbetrieben zum Einsatz kommen, besteht ja immer das latente Risiko des Wildwuchses. Nicht die beste Voraussetzung für die Entwicklung zuverlässiger Drittanbieter-Apps. Eine von den Verkehrsunternehmen gemeinsam entwickelte Lösung, die im öffentlichen Besitz wäre, könnte das Problem potenziell entschärfen.
Andererseits wäre natürlich auch ein Szenario denkbar, in dem ohnehin alle/viele Verkehrsunternehmen ihre Software von ein und derselben spezialisierten Softwarefirma kaufen. In dem Fall wäre die Entwicklung quelloffener Software eine gute Möglichkeit, die Abhängigkeit von diesem Unternehmen zu verringern.
Letztendlich muss man aber natürlich sagen, ich fabuliere hier jetzt auch viel herum und überstrapaziere das Beispiel damit vermutlich.
Wieso sollten sich die beiden Sachen ausschließen? Was spricht dagegen, genauso weitermachen wie bisher nur eben in einem öffentlich einsetzbaren Repo?
Wenig - aber dafür eben auch nur wenig.
Führ’ die Nachteile doch bitte einmal aus. Denn bisher wurden dir einige Vorteile aufgezählt, und deine Gegenargumente waren:
- Otto-Normalbürger:in interessiert das nicht
- Offene APIs sind wichtiger als offener Code
- Offene Software ist unsicherer als geschlossene Software
Die ersten beiden Punkte haben mit der Initiative und den von ihr angeführten Vorteilen gar nichts zu tun. Der letzte Punkt ist komplett unbelegt und steht im Widerspruch zu vielen sehr erfolgreichen und produktiv genutzten Open Source Projekten, aber nehmen wir einmal an, dass er stimmt. Hier geht es vorrangig um das Veröffentlichen von bisher proprietären Projekten - welche nach deiner Argumentation häufig sicher sein sollen. Dann gibt es doch nichts zu befürchten?
Du führst Argumente an, die keine sind und kannst die von der Initiative genannten Vorteile nicht überzeugend angreifen oder entkräften. Deine Zusammenfassung, dass wenig dagegen aber auch wenig dafür spräche, kann ich daher nicht nachvollziehen. Aus meiner Sicht spricht eher nichts dagegen und einiges dafür.
Kommentierst du eigentlich irgendwo, wo du irgendeine Ahnung hast?
Danke für dieses überzeugende Gegenargument.
Beträge löschen ist aber ein überzeugendes Gegenargument?
Du hast nie ein Argument gebracht. Außer AFD Stammtisch scheiße lese ich nichts in deinem Profil.
Einerseits verwirrt mich dieser Kommentar auf sehr viele Arten (“AfD-Stammtisch” ist nun wirklich der bekloppteste an mich gerichtete Vorwurf seit Jahren), andererseits ist mir meine Zeit wirklich zu schade, meine Freizeit mit Gift und Galle spuckenden Trollen zu verplempern. Wenn du Leute persönlich ankeifen willst, geh auf Reddit, Schnuckiputz.
Gute Gelegenheit, mal den Blockieren-Knopf zu testen. Habe die Ehre.
Für diese Behauptung würde ich gerne Belege sehen. Wiki sagt was anderes:
“A study done on seventeen open-source and closed-source software showed that the number of vulnerabilities existing in a piece of software is not affected by the source availability model that it uses. The study used a very simple metrics of comparing the number of vulnerabilities between the open-source and closed-source software.[18]”
https://en.wikipedia.org/wiki/Comparison_of_open-source_and_closed-source_software#Security
Das OS-Programme häufig nicht an die Funktionalität herankommen, liegt eben auch daran, das es keine gemeinsame Strategie gibt (und darum geht es ja auch). Aber in Sachen Sicherheit ist deine Behauptung genau nur das: eine Behauptung.Mit der Logik müsste ich Dir recht einfach einen Anti-Tiger-Stein verkaufen können
Antworte bitte auf meinen Kommentar, wenn Du Interesse hast.
Zur Erklärung für alle, die schwer von Begriff sind:
- Tiger = Sicherheitslücken
- Stein = geschlossene Software