Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Open source software helpt lekken voorkomen

 

Computable Expert

Jan van der Torn
Senior Open Source Software Consultant, Conclusion Future Infrastructure Technology. Expert van Computable voor het topic Development.

Het zal je niet zijn ontgaan dat veel overheidsinstanties en gemeenten onder vuur liggen vanwege gebrekkige ict-beveiliging. Verschillende websites blijken gevoelig te zijn voor kwetsbaarheden en onvolkomenheden in de software waardoor de controle over sites kan worden overgenomen. Ook kunnen er gegevens buit gemaakt worden. Voor bedrijven en overheden levert dit imagoschade op.

In de media worden deze beveiligingslekken uitvoerig beschreven en naar buiten gebracht. Maar wat kan aan aan de beveiligingslekken gedaan worden. En, in relatie tot dit expert topic, welke rol kan open source software hierbij spelen?

Laat het duidelijk zijn, ict-security is iets dat niet alleen in de software kan geregeld kan worden. Security moet je op alle vlakken aanpakken, zowel procedureel, fysiek, op hardware als in de software (hierbij kan de software zelfs nog gesplitst worden in de applicatie en systeemsoftware zoals operating systeem, database en webserver). Zo'n integrale aanpak zorg ervoor dat je niet alleen de voordeur dichttimmert, maar ook de achterdeur goed vergrendeld.

In de meeste voorbeelden in de media zijn websites het doelwit. In mijn ogen is dit niet schokkend. In de meeste gevallen betreft het informatie die toch al met de buitenwereld gedeeld wordt. Ik zou het veel kwalijker vinden wanneer er informatie verkregen wordt die de betreffende organisatie of het bedrijf niet wilde delen. Het lijkt me dat je daarom data zou moeten classificeren, bijvoorbeeld in drie niveaus van vertrouwelijkheid. Op elk niveau kunnen passende maatregelen getroffen worden. Daarnaast zou bij zelfbouw van applicaties security in het design mee genomen moeten worden. Strikte regels en afspraken tijdens het programmeren helpen security risico's te verkleinen of ze (later) eenvoudiger te verhelpen.

Wat mij in de meeste berichten opvalt is dat de sites al zo'n lange tijd 'lek' blijken te zijn. Dat suggereert dat de sites niet of niet goed beheerd worden. Of in ieder geval dat de beheerder niets in de gaten heeft gehad. Goed beheer is dan ook een erg belangrijke voorwaarde voor security. Een goede beheerder weet wat er zich op de systemen afspeelt. Hij (of zij) heeft bijvoorbeeld een adequate update policy. Software wordt regelmatig van updates voorzien en security updates worden met voorrang doorgevoerd. Het spreekt vanzelf dat kennis en ervaring noodzakelijk zijn voor goed beheer.

Maar kan open source software helpen? Voor wat betreft het software-deel kan dat naar mijn idee zeker. Er zijn verschillende open source softwaretools beschikbaar die gebruikt kunnen worden om de mate van security te verhogen. Nu zal je misschien denken, zijn dat niet dezelfde tools die ook door de hackers gebruikt worden? Dat zou best kunnen, maar in mijn ogen is dat juist een extra reden er kennis van op te doen en ze te gebruiken.

Prijskaartje

Vanwege de vaak lagere kosten kan open source software de financiële bezwaren wegnemen om dergelijke tools te gaan gebruiken. Geen aanschafprocedure en niet-techneuten die daarover moeten beslissen, gewoon downloaden. Open source-software is daardoor laagdrempelig. Veel van de tools maken ook nog standaard deel uit van een (Linux) distributie en dat maakt het gebruik nog eenvoudiger. Voorbeelden hiervan zijn Linux gebaseerde firewalls zoals Shorewall en bijvoorbeeld tcpdump waarmee het netwerkverkeer van een interface kan worden bekeken. In het verleden heb ik daar veel gebruik van gemaakt. Naar verloop van tijd wordt je handig in het gebruik ervan. Een ander mooi voorbeeld is SELinux. Dit is een systeem dat in veel Linux distributies aanwezig is en waarmee het systeem veiliger kan worden gemaakt. Met SELinux kunnen bijvoorbeeld de mogelijkheden van een server proces, zoals de webserver, om het filesysteem te benaderen geminimaliseerd worden. Indien de webserver gehackt zou worden, blijven de mogelijkheden dit te misbruiken beperkt. Ook denk ik aan Nessus, een open source netwerkscanner die het netwerk doorlicht op bekende kwetsbaarheden. Wat weerhoudt organisaties ervan dergelijk producten te gebruiken?

Is open source software zelf ook veiliger? Mogelijk, maar natuurlijk bevat ook open source software bugs en kwetsbaarheden, het is en blijft software. Wel weten we inmiddels dat 'security by obscurity' zoals in de commerciële software wereld gehanteerd wordt niet werkt. Juist openheid over security problemen leidt tot oplossingen en dus tot een veiliger systeem. Bovendien, al zou een oplossing (nog) niet beschikbaar zijn, zodra bekend is dat er een security probleem is, kan je als klant, eindgebruiker of beheerder maatregelen nemen. In het meest extreme geval sluit je een systeem van internet af. Je hebt in ieder geval de keuze.

Ook biedt open source software de mogelijkheid zelf het heft in handen te nemen. Zo werkt een collega van me aan Handshake, een sms-authenticatie portal dat gebruik maakt van OpenVPN. De portal regelt de 'two factor security' en OpenVPN de beveiligde netwerkverbinding. OpenVPN is open source software en Handshake wordt dat in de nabije toekomst. De combinatie van beiden is een goed alternatief voor commerciële software die het 'thuiswerken' ondersteunen.

Terug naar de vraag, kan open source software mijn ict-security helpen te vergroten? Ik ben van mening dat het dat zeker kan. Toch zal een goede aanpak zich niet beperken tot de software. Een beheerder die van mening is dat de webserver niet gehackt zal worden leeft in een fantasiewereld. Ga ervan uit dat het gebeurd en kijk dan nogmaals naar het systeem, neem security serieus en gebruik de goede tools. En als laatste, zorg voor een calamiteitenprocedure. Welke maatregelen ga jij nemen als je gehackt bent? Wie gaat de communicatie voor zijn rekening nemen? Denk hier goed over nu je daar nog rustig de tijd voor hebt.

Wat ik echter niet begrijp is dat er nog steeds bedrijven zijn die hacks ontkennen en eromheen draaien. Is het inmiddels niet duidelijk dat zoiets niet meer kan? Of vinden we security gewoon niet belangrijk?

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4264335). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Een beetje expert zal ongetwijfeld een vergelijkbaar verhaal kunnen schrijven voor closed source software. Wat dat betreft, zie ik dit als de zoveelste verheerlijking van open source.

Je geeft zelf al aan, beveiliging dient op meer vlakken te gebeuren dan alleen software.

Beveiliging moet tussen de oren zitten van de beheersorganisatie, en moet meegenomen worden in de budgeteringen (niet alleen aanschaf soft- of hardware, maar ook in FTE's)

Zolang het daar niet zit, kun je open- of closed source software aanschaffen en installeren tot je een ons weegt, maar blijft het dweilen met de kraan open.

Overigens vraag ik me wel af of het allemaal zo makkelijk is als in het artikel geschetst wordt. Even pakketje zus installeren, en dan pakketje zo. Wat is de impact van al deze software op het functioneren van mijn systeem? Hoe weet ik of al deze open source pakketten wel betrouwbaar zijn? Misschien zijn de pakketten op zich wel malware. Kijk ik bij het hier genoemde shorewall, zie ik bijvoorbeeld staan "WITHOUT ANY WARRANTY" ... dit krijg ik moeilijk aan mijn managers uitgelegd. Je installeert iets, waarvan je hoopt dat het gaat helpen, maar je hebt geen enkele garantie.



@PaVaKe:
"Kijk ik bij het hier genoemde shorewall, zie ik bijvoorbeeld staan "WITHOUT ANY WARRANTY" ... dit krijg ik moeilijk aan mijn managers uitgelegd. "

Dan krijg je helemaal niets bij jouw managers uitgelegd, bij IBM, Microsoft, Oracle of welk ander softwarepakket dan ook, krijg je enige vorm van garantie. Wanneer door een bug in hun software jouw productie een week stilligt en je lijdt hierdoor bv. een miljoen euro schade, dan krijg je precies nul komma niks vergoedt. Zie de licentievoorwaarden.

Software is software en open of closed source, dat zegt UITSLUITEND iets over de beschikbaarheid van de broncode en de gebruiksmogelijkheden. Het zegt helemaal niets over garantie of aansprakelijkheid.

Ik ben het dus ook direct met je eens dat bovenstaand verhaal ook te schrijven is voor closed source software, de licentie vorm zegt namelijk niks.

Ik neig eerder naar het tegenovergestelde: Open source software is vaak (vaker dan closed? Geen idee) op zoveel punten te tweaken en configureren dat er feitelijk meer plaatsen zijn waar je de mist in kunt gaan. Probleem komt zeer vaak voort uit gebrekkige kennis en inrichting van het product dat je gebruikt. En inderdaad, dat is alleen nog maar de technische kennis. Als dan ook nog eens de bewustwording ontbreekt dat je gevoelige informatie gaat bewaren, dan heeft iemand met de juiste kennis ook onvoldoende prikkels om kritisch na te denken over de inrichting. Je veiligheid moet een optelsom van de hele keten zijn, maar is helaas zo sterk als de zwakste schakel.

In mijn ogen is closed of open source geen relevante informatie. Het wordt er bij de haren bijgesleept.

Dan de quote:
"Wat ik echter niet begrijp is dat er nog steeds bedrijven zijn die hacks ontkennen en eromheen draaien. Is het inmiddels niet duidelijk dat zoiets niet meer kan? Of vinden we security gewoon niet belangrijk?"

Ik begrijp het wel. Als ik een fout maak ga ik dat ook niet meteen aan iedereen vertellen. Hooguit vertel ik het aan stakeholders (bijvoorbeeld een klant), maar om het direct aan de media te verkondigen... Dit valt gewoon onder menselijk gedrag. Soms is dat kwalijk, maar begrijpen doe ik het wel.

Alles heeft met knikkers (en interesse) te maken. Hergebruik jij wel eens wachtwoorden? vast wel. Dat is een security issue. Vind je security dan niet belangrijk? Ik denk wel dat je het belangrijk vind maar geld en gemak spelen ook een rol. Daarnaast snapt niet iedereen dat een lek in een onbelangrijk systeem kan leiden tot een hack in een groot systeem.

Het blijft menselijk :-)

Maar de discussie Open Source versus Closed Source vind ik hetzelfde als Apple vs Microsoft. Beetje vermoeiend en eigenlijk niet interessant.

@Frank

De garantie kan inderdaad een soort schijnzekerheid creëren, maar kijk even naar de gemiddelde consument. Wat zal die kopen:
product A met 3 jaar garantie (waar in de kleine lettertjes de beperkende randvoorwaarden staan) of
product B waar op de verpakking reeds staat: geen enkele garantie

Het gros zal kiezen voor product A, ook kost dat meer dan product B. Voor de gemiddelde manager zal hetzelfde gelden.

Neem daarnaast dat product A toevallig van een grote bekende producent is (een A-merk) en product B van één of ander totaal onbekend merk, dan is de keus door de meeste managers al snel gemaakt.

(waarmee ik dus niet wil zeggen dat dit altijd de juiste keuze is)

@PaVaKe, Ik lees jou reacties altijd met erg veel respect en belangstelling.
Dit maal doe je me met deze reactie echter erg verbazen !
Wil jij je als serieuze profesional vergelijken met en gemiddelde consument wiens kennis van zaken zich louter beperkt tot een paar marketing slogangs en eventueel wat corporate gelul ?
Mag hopen dat jij bij je opperhoofd met serieuze argumentatie dient te komen ongeacht welk product je adviseerd.

Ik ben toch bang dat ik dit keer de mening van Frank moet delen.

Ben zelf overigens OSS minded maar dat zal in de loop van de tijd vast wel al duidelijk zijn geworden.
Staat tegenover dat ik zelden iets met kantoorautomatisering te maken heb gehad. ook dat scheeld.

@PaVeKe:
"product A met 3 jaar garantie (waar in de kleine lettertjes de beperkende randvoorwaarden staan)"

Noem eens een software pakket waar je garantie op krijgt. Dus eentje waar geen bugs in zitten, en mochten deze er toch inzitten, je binnen een week een nieuwe versie krijgt. En uiteraard krijg je de geleden schade vergoed, anders heb je er nog steeds niets aan. Met een auto is de fabrikant ook aansprakelijk wanneer de remmen het door een productiefout niet doen, ik stel dus geen onredelijke eisen. Ik ben benieuwd welk pakket je noemt, ik kan er zo geen een bedenken.

Ps. Het gaat in bovenstaand verhaal over professionele toepassingen, geen consumenten toepassingen. Al maakt dat voor de garantie niet uit, die krijg je (volgens mij) toch niet.

@Frank/Pascal

Ik ben het deels met jullie eens, maar laat me even een scenario schetsen:


Mij wordt gevraagd om bijv. een firewall pakket uit te zoeken. Op basis van functionaliteit maak je wat keuzes en doe je wat testen.

Vervolgens geef je een advies met enkele alternatieven waaruit management op basis van haar criteria een keuze maakt.

Uiteindelijk blijven er 2 pakketten over, en de manager denkt: "weet je wat, ik kijk eens even op de websites, misschien dat ik daar nog wat wijzer wordt"

Op de site van Shoreline staat op de homepage al meteen iets vermeld over "no warranty"

Kijk ik dan bij bijvoorbeeld de supportpagina van zonealarm, zie ik staan "If you are not 100% satisfied with your purchase, we will be happy to accept a return for a full refund"

Welke van de twee denk je dat het meest vertrouwen wekt bij degene die moet beslissen?
Dit vertrouwen is een gevoel, en iemand overtuigen dat zijn gevoel niet goed is, is vele malen moeilijker dan een keuze op basis van technische feiten weerleggen (of onderbouwen).

Shoreline is dan misschien wel eerlijker dan zonealarm in deze, maar deze eerlijkheid werkt op dit punt misschien ook wel heel erg tegen ze.

Daarnaast heb ik in het verleden managers op héél andere gronden software aan zien schaffen dan op hetgeen de specialisten adviseerden, waarmee ik aan wil geven dat managers nog wel eens genegen zijn adviezen naast zich neer te leggen.

(overigens, ik heb niet gekeken welke van de producten het beste is, het gaat puur om de informatie die je op de website op het eerste oog tegenkomt)

Nog even naar aanleiding van een opmerking van Frank:

Binnen een week een nieuwe versie ... met premium support van de grote partijen heb je misschien niet een nieuwe versie binnen een week, maar vaak al wel een patch. Kost een paar knaken, maar dan heb je ook wat.






'Op de site van Shoreline staat op de homepage al meteen iets vermeld over "no warranty"

Kijk ik dan bij bijvoorbeeld de supportpagina van zonealarm, zie ik staan "If you are not 100% satisfied with your purchase, we will be happy to accept a return for a full refund"
'

Met andere woorden, bij beide producten krijg je een full refund. Bij het ene product betaal je vooraf echter niks, bij het andere product betaal je wel. Mocht het product je niet bevallen, krijg je in beide gevallen de volledige licentiekosten retour. En dat is dus 0 euro bij een gratis licentie en X euro bij een licentie waar je vooraf X euro voor hebt betaald.

"Binnen een week een nieuwe versie ... met premium support van de grote partijen heb je misschien niet een nieuwe versie binnen een week, maar vaak al wel een patch. Kost een paar knaken, maar dan heb je ook wat."
Support kun je bij open source producten ook krijgen, kun je gewoon inkopen. Dus ook dan heb je binnen een week (of nog sneller) een patch.

Zoals al vele malen gezegd, open source of closed source, het zegt uitsluitend iets over de beschikbaarheid van de code en toepassingen van het product. Het zegt niks over support of garantie. Diegene die denkt van wel, mag zich beter gaan inlezen in contracten en licenties, het ontbreekt hem/haar blijkbaar aan informatie.

Wanneer managers niet zijn te overtuigen van de beste keuze maar uitsluitend afgaan op bling bling, dat zegt dat veel over deze managers.

PaVaKe, ik begrijp je voorbeeld.
Zelf heb ik ook al een paar maal met zulk marketing gelul (want dat is het in essentie) te maken gehad.
Het is idd een typische case waarin het verschil tussen gelijk hebben en gelijk krijgen geld.
Ik heb dan overigens aangegeven dat het weinig zin heeft mij om advies te vragen als je keuze vooraf al bepaald is dan wel je het advies hoe goed onderbouwd ook in de wind slaat.
Daar houdt het voor mij als techneut ook op.

Een aantal kantekeningen mijnerzijds.
- Ik heb altijd in een kleine (100) omgeving gewerkt
- De keuze voor OSS is dan meestal iets gemakkelijker omdat de communicatie over minder lagen gaat.
- Heb daarbinnen zeer zelden met tevredenheid gesloten software toe kunnen passen (zelfs ooit een keer een binary file zitten debuggen om bij de leverancier een fout aan te tonen, dat is toch te gek voor woorden)

Kortom PaVaKe je argumentatie ligt heel erg in het sociale vlak (overtuig je opperhoofd van je gelijk) en minder in het technische vlak (je keuze wordt beinvloed door de verkoopbaarheid en niet door de technische specificaties)

Feit is dat geen enkel softwarebedrijf de financiele consequenties wil dragen voor het niet, slecht, of incorrect functioneren van het geleverde produkt.
Dat er in den Haag stemmen opgaan om dat tij te keren is leuk maar geen enkel bedrijf zal dat risico willen dragen.
Immers het probleem kan ook ontstaat door onoordeelkundig gebruik van het product (en daar zal dan dus ten alle tijde naar verwezen worden)

De stelling in het artikel is dat open source lekken helpt voorkomen. Het ligt voor de hand dat als je ontwerp en de code voorhanden hebt, dat het aanwijzen van lekken dan simpeler is. Je automonteur heeft immers ook graag een servicemanual bij de hand.

Vanzelfsprekend moet je altijd zorgen dat de open source software die je installeert, niet stiekum is 'bewerkt' door kwaadwillenden. Maar dat geldt voor closed software net zo goed. Gegeven de vele patent- en auteursrechten rechtszaken met veroordelingen, is closed software trouwens niet altijd even "closed".

Volgens mij wordt de borging en garantie van productie en continuïteit zelden geregeld in de gebruikslicentie op software. Veel service wordt verleend door andere partijen dan door de software fabrikanten. De garantie op continuïteit zal alleen steek houden als er de mogelijkheid is om foutieve code snel te verbeteren. Of dat kan, moet blijken uit de bijbehorende werkwijze; wellicht uit een time-audit daar op. De eventuele licentie-inkomsten (commissie) zijn voor de serviceverleners meestal een interessante bijverdienste maar niet de hoofdzaak.

Open Source software is qua gebruikslicentie in diverse gevallen, zoals Linux, gratis; Maar wie gegarandeerde continuïteit wil, moet daar een goede serviceverlener bij hebben (of zelf de kennis in huis halen). Bijna altijd gaat het dan om installaties en implementaties met maatwerk. De continuïteitsgarantie - feitelijk een overdracht van risico - kàn hier alleen uit het servicecontract blijken. De serviceverlener moet zijn processen daarom zo inrichten dat er een snelle repair tijd wordt bereikt. Allen dan is het risico voor de service provider beheersbaar en de garantie te realiseren. Dus: Kennis voorhanden hebben, voldoende buffer capaciteit, voldoende flexibiliteit, etc. Daarop zal de sercive prijs en het 'level' worden gebaseerd.

Een closed source leverancier kan in theorie precies zo'n snelle 'repair' tijd bereiken door zijn processen daar voor nadrukkelijk in te richten. Hij zal daar een passend service level met dito vergoeding voor verlangen. Dat zou elke manager mogen snappen, doch vele niet-technische managers beoordelen ICT-risico's meer als een soort financiële afweging (verzekering) dan als een inhoudelijk productie-beheersings vraagstuk. ICT verkopers beweren gewoonlijk 'nachtrust' te verkopen. Een service contract is nachtrust. Ja, ja!

Natuurlijk zijn OS en CS kampen altijd graag bereid op elkaars nadelen te wijzen.

@Frank

"Wanneer managers niet zijn te overtuigen van de beste keuze maar uitsluitend afgaan op bling bling, dat zegt dat veel over deze managers."

Met deze zin sla je de spijker op z'n kop

Er lopen helaas te veel managers rond die met de trends mee willen gaan. Als open source "hip" is, moet alles open source; als de cloud "hip" is, moet alles in de cloud enz enz.


Wanneer jou advies tegen de trend ingaat.....

Zijn we het met zijn allen toch weer met elkaar eens ;)

@Peter Ambagtsheer, een bedrijf dat gesloten code levert kan faliet gaan.
Waneer je van een OSS project de code hebt, dan kun je bij een willekeurige partij voor het onderhoud aka updates terecht.
Het eventuele continuiteits argument lijkt me daarbij niet valide.
Dit overigens los van het verschijnsel dat eenmaal goed opgezette software echt niet elke drie jaar vervangen hoeft te worden (ken zat voorbeelden waar software meer dan twintig jaar blijft draaien)

Dat de code veelal gratisch is, is waar maar dat is beslist geen noodzaak. ik heb eens dik geld gevraagd voor een programmaatje dat de klant gewoon zelf van mijn website had kunnen downloaden.
Wil je dat ik aanpassingen maak, dan wordt ik daar graag voor betaald ;)

De grootste vijanden van OSS zijn iha mensen die vrezen dat ze eens een keer ergens moeite voor moeten doen. Dat gaat heel veel verder dan je zou kunnen vrezen.

Mijn ervaring met Open Source is dat het gros van IT-ers (en indirect dus bedrijven) het doen omdat het gratis is en in 99 van de 100 gevallen echt niet kijken of de code van enige kwaliteit is. Hooguit een beetje googelen, maar open source wordt vooral ingezet omdat je geen investering hoeft te doen en meteen wat hebt om te proberen.

Waar ik moeite mee heb is mensen die echt open source als een soort van religie belijden. Het is gewoon een business model zoals je aan de ene kant Android hebt en aan de andere kant IOS. Ze hebben allebei een plek en het andere als slecht(er) afdoen is in mijn ogen gewoon niet slim.

@Henri Koppen,
In essentie deel ik je mening dat het gros van de IT-ers niet verder kijken dan de neus lang is.
Gratis is idd voor velen een toverwoord. Dat dit volkomen onterecht is laten we voor het gemak maar eens even buiten beschouwing.

Al eerder gaf ik al aan dat ondersteuning in de toekomst juist dankzij het open source karakter doorgang kan blijven hebben ondanks dat de maintainers er welicht mee stoppen.
Daarvoor moet je dan idd wel de moeite nemen zelf de code aan te passen.
Nu is het gros van de ITers nog niet eens in staat de rotzooi te compileren laten we maar zwijgen over het aanpassen en onderhouden ervan. daar heb je een punt.

Je opmerking over de kwaliteit van de code snijdt echter geen hout !
Immers ben je ook niet in staat om de code van gesloten projecten te onderzoeken, los van het feit of een gemiddelde ITer in staat is om de kwaliteit ervan te beoordelen,

Zelf heb ik zowel aan open als gesloten software gewerkt en in beide gevallen ben ik goede en zeer slechte spullen tegen gekomen (zal daarbij maar niet in details treden maar er is een duidelijk aanwijsbare oorzaak voor de belangrijkste issues in deze)

Ik ben het met je eens dat er een hoop nitwits zijn die OSS als een religie zien.
Ik zie echter ook zat lui die zonder enige onderbouwing OSS afwijzen waarbij al snel gebrek aan kennis van zaken en onwil om die kennis eigen te maken als de reden valt aan te wijzen.

Kwaliteit van software word niet bepaald door het al dan niet open karakter van de bron code, maar wel door de gene die de rotzooi bijeen tikken. en daar schort het in beide gevallen nogal eens aan !

@Pascal: Inderdaad. Ik heb wel eens meegemaakt dat de programmeurs allang niet meer in dienst waren en de we hadden de broncode niet, dan ben je dus afhankelijk van de hardware en software vereisten.

Hoe vaak komt het niet voor dat binnen een bedrijf een NT4 machine staat of iets anders heel ouds, omdat daar een klein stukje software op draait dat niet weg mag, maar dat niet her-complileerd kan worden?

@Technicus

Die oude spullen staan nog op meer plaatsen dan je denkt, soms ontkom je daar niet aan.

Zeker wanneer je wettelijke onderhoudsverplichtingen hebt van 15 jaar (medische apparatuur) ben je nog geruime tijd gebonden aan platformen als Windows NT en VAX.

De software draaiende houden is één, maar hardware vinden waar de oude software nog op draait is ook een uitdaging op zich. Gelukkig biedt virtualisatie hier uitkomst.

@PaVaKe je schrijft:
"Je opmerking over de kwaliteit van de code snijdt echter geen hout !
Immers ben je ook niet in staat om de code van gesloten projecten te onderzoeken, los van het feit of een gemiddelde ITer in staat is om de kwaliteit ervan te beoordelen"

Ik doe ook geen vergelijking hierin met closed source. Maar meer dat het geen argument is voor Open Source. Het zou een argument voor Open Source zijn als een groter deel van de gebruikers van Open Source daadwerkelijk de code bekijken. Nu is het vooral een argument wat leuk klinkt, maar praktisch gezien geen argument is.

Daarnaast stoor ik me aan meningen die erop duiden dat closed source slecht is omdat er geld mee verdiend wordt. Dat zijn ook mensen die vinden dat de rijken meer belasting moeten betalen maar niet beseffen dat het gros van de welvaart betaald wordt door die "rijken".

@Henri Koppen:

alhoewel mijn voornaam ook Pascal is, komt de opmerking "je opmerking ... geen hout!" van mijn naamgenoot die schrijft onder de naam "Pascal"

Niet van PaVaKe

Waarvan akte ;-)

Dan zal ik toch maar even de zaak recht trekken ;)
(heel af en toe schrijft er trouwens wel eens iemand iets onder mijn naam... balen zeg)

Henri, ik kan het slechts met je eens zijn.
Er zouden idd wat meer mensen een actieve bijdrage mogen leveren, zeker waneer die mensen zelf wel kassa rekenen om de rotsooi te instaleren.

Lieden die zeggen Linux is slecht want mijn printer/vage netwerkkaart/andererariteit wordt niet ondersteund, hebben duidelijk geen idee wat OSS is, die neem ik ook niet serieus.

Ik reken ook gewoon $$$ voor het schrijven van OSS, Als ik er niet voor betaald wordt kruip ik ook liever achter de piano, niets mis mee.

Waar ik wel een bezwaar zie, is (wat nogal eens voorkomt) closed source toepassen om vendorlockin te forceren.
VendorLockin leid zelden tot weloverwogen keuzes.
Wil je klanten aan je binden, doe dat dan door kwaliteit te bieden, niet door onvervangbare troep te leveren.
Zorg er dus voor dat je specialistische toepassing over een paar jaar nog inzetbaar is, bv door versies te bieden die op een ander OS draaien.
Zoals Pascal van Kempen al aangaf, sommige applicaties gaan echt langer mee dan vijf jaar (ik heb een luchtvaart achtergrond, 30 jaar is daar geen uitzondering)

Pascal uit Limburg.

Doordat de code van Open Source door iedereen bekeken kan worden krijg je als programmeur meer aanwijzingen hoe jouw code te verbeteren. Opensource producenten werken altijd in grotere forums samen dan closed source. Vaak weten closed source programmeurs niet eens wat hun buurman bouwt. Daarnaast zitten er grote fundamentele tekortkomingen in het filesystem van alle Windows systemen die ja als hacker altijd wel weer kunt gebruiken. Linux en andere Unix achtigen hebben een veel beter beschermd filesystem wat maar heel moeilijk is te hacken. De prijs van Open Source is niet het belangrijkste. Het is niet aantrekkelijk om gekraakte besmette open software aan te bieden want het is toch al gratis en wordt via veilige servers verspreid. Het is heel makkelijk om Windows 7 inclusief een root kit aan te bieden die probleemloos geregistreerd aan het werk gaat, waar je dan ook een backdoor in stopt. Dit systeem kun je weer gebruiken voor dos aanvallen etc. Dit geldt ook voor andere populaire closed software. Ik heb veel hackers ervaring en ik zeg dat juist closed source zich uitstekend leent voor illegale praktijken.

@Rensepens, ik ben als die hard unix man een notoire MicroSoft hater, ik kan me echter nauwelijks vinden in je betoog.
Om te beginnen hebben we het hier over het verschil tussen OpenSourceSoftware en ClosedSourceSoftware en niet over de verschillen en kwaliteiten van diverse besturings systemen.
Ik ken zat veel lieden die wel OSS gebruiken maar niet eens weten hoe ze aan de broncode moeten komen, zelfs niet als het paket dat zij kiezen in php of iets dergelijks geschreven is !
Zulke gasten zijn echt niet in staat om de code of het functioneren ervan te beoordelen.

ik heb wat tegen ClosedSourceSoftware omdat er vrijwel altijd issues mee zijn die zonder de beschikbaarheid van broncode niet opgelost kunnen worden.

Voor eens en voor altijd: OpenSourceSoftware en ClosedSourceSoftware verschillen op geen enkel punt van elkaar, het zijn gewoon regeltjes tekst die je door een compiler jast.
Het verschil zit ehm louter in het zakenlijke model, en daarom zie ik dan ook elke keer weer non argumenten tegen OSS.
Typisch geval van Job protection, Oh Nederland let op uw zaak !

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×