Hallo,
sorry, dass ich so kurz hintereinander zwei Themen öffne. Aber inhaltlich sind sie zu unterschiedlich um sie in ein Thema zu packen.
Ich habe heute das erste mal erfolgreich open source von github verwendet. Dabei habe ich mir die Frage gestellt, wie ich eigentlich sicherstellen kann, dass ich mir beim testen des codes nicht einen trojaner oder virus kompiliere.
Klar: man kann ja in den Quelltext schauen. Aber viele Quelltexte haben sehr viele Dateien und vieles will und muss ich auch gar nicht verstehen, um die Funktionen zu nutzen. Aber was kann ich tun, um sicher zu sein, keine Schadsoftware herzustellen.
Wie geht ihr damit um?
Grüße
Opensource software mit virus/trojaner?
-
- Beiträge: 43
- Registriert: 23. Juli 2017 12:35
Re: Opensource software mit virus/trojaner?
Wenn du den Quelltext nicht lesen möchtest, dann schütz man sich davor genau so, wie man es auch bei closed source Programmen macht, die man überall im Internet erhält.
Sprich:
z.B:
- auf das Impressum achten
- nur nötiges installieren
- Virenscanner aktiviert haben
- nur auf "spielcomputer" bzw. "virtuell" installieren, aber nicht auf einen "Arbeitsrechner"
- auf negative Kommentare/Bewertungen von anderen Benutzern achten
- Referenzen des Autors beachten
- Ist es nur ein Autor oder gibt es sehr viele Beitreiträge von verschiedenen Autoren?
- Wann gab es das letzte Update?
- Was steht im Bugtracker?
- ...
Sprich:
z.B:
- auf das Impressum achten
- nur nötiges installieren
- Virenscanner aktiviert haben
- nur auf "spielcomputer" bzw. "virtuell" installieren, aber nicht auf einen "Arbeitsrechner"
- auf negative Kommentare/Bewertungen von anderen Benutzern achten
- Referenzen des Autors beachten
- Ist es nur ein Autor oder gibt es sehr viele Beitreiträge von verschiedenen Autoren?
- Wann gab es das letzte Update?
- Was steht im Bugtracker?
- ...
Re: Opensource software mit virus/trojaner?
Du hast im Endeffekt kaum eine Chance das sinnvoll zu überprüfen.
Heutzutage wird wegen jedem Scheiß irgendwas externes included, was meist wieder haufenweise externes nutzt usw. Du müsstes das alles manuell überprüfen.
Es ist ein hartnäckiges Märchen, dass open source heißt, da gucken viele drüber und das ist sicher.
Im Endeffekt sind bloss alle froh, dass sich mal wer die Arbeit gemacht hat und nutzen das hemmungslos. Nur wenige open source Projekte davon sind wirklich mal reviewed worden.
Wer setzt sich da wirklich hin und liest 1000-200 Lines of Code oder gar nocht mehr?
Heutzutage wird wegen jedem Scheiß irgendwas externes included, was meist wieder haufenweise externes nutzt usw. Du müsstes das alles manuell überprüfen.
Es ist ein hartnäckiges Märchen, dass open source heißt, da gucken viele drüber und das ist sicher.
Im Endeffekt sind bloss alle froh, dass sich mal wer die Arbeit gemacht hat und nutzen das hemmungslos. Nur wenige open source Projekte davon sind wirklich mal reviewed worden.
Wer setzt sich da wirklich hin und liest 1000-200 Lines of Code oder gar nocht mehr?
Re: Opensource software mit virus/trojaner?
Da ich selbst an einem open source Project mit über 500.000 Zeilen mitarbeite mal ein paar Zahlen:
Projekt ist über 15 Jahre alt.
Nutzerzahlen schwer zu sagen (da man nicht nachvollziehen kann wer alles von wo geladen hat), aber mindestens über 10.000 (Da das die Anzahl der Downloads auf der Hauptsite sind. Die vielen Spiegelserver können wir nicht nachvollziehen.
Leider ist es ein Nischenprodukt, wir werden nie auf mehrere Millionenwerte kommen.
Der Hauptautor hat fast alles geschrieben und alles gelesen.
Ich habe nur einen kleinen Bruchteil geschrieben, aber alles gelesen.
Mehr direkte Autoren an dem Projekt gibt es nicht.
Das Projekt wurde aber ein paar mal (z.T. illegal) gespiegelt. (Sprich: Wir haben Clone davon gefunden, bei denen die Namen der Software und Autoren geändert wurden und der Quelltext nicht veröffentlicht wurde. Debian, openSuse, Ubuntu, ... hingegen haben legal gespiegelt, dort können wir aber nicht einsehen wie viele es wirklich nutzen bzw gelesen haben).
Leider bekommen wir (daher) nicht immer Rückmeldungen von allen, die den Quelltext lesen.
Aber aber Aufgrund der Rückmeldungen kann man zumindest sagen, dass >30 Personen zumindest große/viele Teile gelesen.
Wie hoch die "Dunkelziffer" der Code Reviews ist ist schwer einzuschätzen. Ich vermute es allerdings um Faktor 100 höher, einfach aus dem Grund, da es öfters ein Thema in Bachelor/Master/Diplom/... Arbeiten ist und dort öfters die Software mit anderen Programmen erfolgreich verglichen wird oder mit anderer Software erfolgreich kombiniert wird.
Projekt ist über 15 Jahre alt.
Nutzerzahlen schwer zu sagen (da man nicht nachvollziehen kann wer alles von wo geladen hat), aber mindestens über 10.000 (Da das die Anzahl der Downloads auf der Hauptsite sind. Die vielen Spiegelserver können wir nicht nachvollziehen.
Leider ist es ein Nischenprodukt, wir werden nie auf mehrere Millionenwerte kommen.
Der Hauptautor hat fast alles geschrieben und alles gelesen.
Ich habe nur einen kleinen Bruchteil geschrieben, aber alles gelesen.
Mehr direkte Autoren an dem Projekt gibt es nicht.
Das Projekt wurde aber ein paar mal (z.T. illegal) gespiegelt. (Sprich: Wir haben Clone davon gefunden, bei denen die Namen der Software und Autoren geändert wurden und der Quelltext nicht veröffentlicht wurde. Debian, openSuse, Ubuntu, ... hingegen haben legal gespiegelt, dort können wir aber nicht einsehen wie viele es wirklich nutzen bzw gelesen haben).
Leider bekommen wir (daher) nicht immer Rückmeldungen von allen, die den Quelltext lesen.
Aber aber Aufgrund der Rückmeldungen kann man zumindest sagen, dass >30 Personen zumindest große/viele Teile gelesen.
Wie hoch die "Dunkelziffer" der Code Reviews ist ist schwer einzuschätzen. Ich vermute es allerdings um Faktor 100 höher, einfach aus dem Grund, da es öfters ein Thema in Bachelor/Master/Diplom/... Arbeiten ist und dort öfters die Software mit anderen Programmen erfolgreich verglichen wird oder mit anderer Software erfolgreich kombiniert wird.
Re: Opensource software mit virus/trojaner?
Anderes Beispiel:
Guck dir Bugtracker an, dort kann man sehr schön erkennen wie viele Leute es mindestens lesen. Ich trage dort bei anderen Projekten i.d.R. nichts bei, aber lese gerne solche Bugtracker regelmäßig, einfach um besseres Programmieren zu lernen.
Ich lese z.B. regelmäßig hier:
https://trac.cppcheck.net/timeline
Aber ein anderer Punkt ist schon richtig: Sehr viele Leute "schnorren" nur und teilen nicht. Das geht dem Projekt ähnlich. Tausende Leute nutzen es erfolgreich, viele tolle Empfehlungen für die Software, aber nur wenige Leute helfen. Das ist traurig. Seit kurzer Zeit hat der Autor mehrfach auf Kickstarter um finanzelle Hilfe gebeten. Es ist traurig wie wenige Leute so einem Projekt helfen.
Guck dir Bugtracker an, dort kann man sehr schön erkennen wie viele Leute es mindestens lesen. Ich trage dort bei anderen Projekten i.d.R. nichts bei, aber lese gerne solche Bugtracker regelmäßig, einfach um besseres Programmieren zu lernen.
Ich lese z.B. regelmäßig hier:
https://trac.cppcheck.net/timeline
Aber ein anderer Punkt ist schon richtig: Sehr viele Leute "schnorren" nur und teilen nicht. Das geht dem Projekt ähnlich. Tausende Leute nutzen es erfolgreich, viele tolle Empfehlungen für die Software, aber nur wenige Leute helfen. Das ist traurig. Seit kurzer Zeit hat der Autor mehrfach auf Kickstarter um finanzelle Hilfe gebeten. Es ist traurig wie wenige Leute so einem Projekt helfen.