Opensource ist gescheitert

Ach ja... Heartbleed.
Da gibt es ja jetzt die schönste Panik und jede Menge Leute die wie ein kopfloses Huhn durch die Gegend rennen und panisch rufen "OpenSource ist gescheitert".
Gestern erst hab ich es beim ÖR-Rundfunk gehört (zusammen mit "da muss man jetzt auch konzeptuell darüber nachdenken wie man das besser machen kann") und gerade eben hat selbst Fefe noch einen völlig Thema verfehlenden Rant darüber abgelassen dass das alle sagen würden.

Ach na super. Jetzt passiert, was ich schon befürchtet habe. Der Frontalangriff auf Open Source. Da ist von "Heilsversprechen" die Rede, und dass man das jetzt professionalisieren müsse. Die Programmierer müssen bezahlt werde!

Das muss wie ein Unternehmen geführt werden!

Ich antworte: WAS ZUM FICK IST FALSCH MIT EUCH?

Nein, OpenSource ist bei Heartbleed genau so wenig gescheitert wie wenn ein Bug in Microsoft-Betriebssystemen, den seit 10 Jahren keiner gesehen hat, bedeutet dass Closett-Source gescheitert ist.
Der Sinn von OpenSource ist "Freiheit". OpenSource ist vlt. gescheitert wenn wir nur noch so undurchsichtigen Schrott wie libPoettering rumliegen haben die alles tun und wo keiner mehr durchsieht.
OpenSource ist vlt. gescheitert wenn keiner mehr sowas entwickelt.
OpenSource ist vlt. gescheitert wenn Google und Co. krampfhaft versuchen den Code weg von GPL zu BSD/MIT-Lizenzen zu bewegen um mehr ihrer proprietären Softwarescheiße zu bundlen und mit Android ein quasi-geschlossenes System aus ursprünglich mal offenen Bauteilen aufzubauen.

OpenSource ist NICHT GESCHEITERT wenn wir eine Bibliothek aus solchem haben, diese von millionen verwendet wird und es in dieser einen Fehler gibt, der entdeckt wird und in kürzerer Zeit behoben wird.
Dann hat OpenSource sein Ziel erreicht!
Software zu schreiben die Freiheiten fördert und von vielen Personen/Organisationen eingesetzt wird ist das Ziel.

Dann ist nichtmal OpenSSL gescheitert. Denn offensichtlich wird OpenSSL verwendet. Welchen besseren Beweis dafür könnte es geben? OpenSSL hat jetzt ein Ruf-Problem und wahrscheinlich auch ein Softwarequalitätsproblem. Ich würde sogar sagen OpenSSL hat mindestens 2-3 konzeptuelle Probleme, aber ein Problem hat es nicht: OpenSource.

Der Unterschied zwischen OpenSource und unfreiem ist halt eben nicht dass dieser Fehler bei unfreiem entdeckt worden wäre. Unfreier Code wäre für diesen Einsatzzweck niemals so großflächig verbreitet worden. Das wäre in diesem speziellen Fall vlt. sogar von Vorteil gewesen, aber wir haben ja genug Stellen wo sich unfreier Code marktführend durchgesetzt hat.

Jeder der glaubt dass unfreier Code solch ein Problem nicht hat, der kann jetzt beruhigt Windows XP weiterverwenden. Schließlich ist das seit Jahren gut erprobter, unfreier Code, mit marktwirtschaftlich organisierter Qualitätskontrolle.

Wenn also unfreier Code keine solchen jahrelang unentdeckten, katastrophalen Fehler enthalten könnte, dann wäre Windows XP jetzt DAS Betriebssystem der Wahl.

Aber es sind Dinge gescheitert

Ja.
Was ist gescheitert? Die Qualitätskontrolle bei OpenSSL ist offensichtlich über Jahre hinweg gescheitert. Diese C-basierenden Sprachen scheitern schon ewig daran Speicherzugriffssicherheit herzustellen. Softwarediversifikation, die uns davor bewahren sollte dass jeder genau das gleiche Stück Software einsetzt, ist möglicherweise gescheitert. Und SSL-Zertifikate scheitern sowieso permanent.

Gescheitert ist auch dass Leute die Code verwenden, diesen zumindest mal ansehen sollten. Das muss nicht jeder tun. Sicherlich versteht nicht jeder jedes Detail was eine SSL-Bibliothek tut. Da wäre der Nutzen minimal.
Aber zumindest Codequalität und Verständlichkeit seiner verwendeten Bibliotheken sollte man mal grob überfliegen. Das haben kaum Leute getan.
Es gibt jede menge sehr lukrativer Projekte, sowohl OpenSource als auch unfrei, die OpenSSL verwendet haben. keiner von denen hat sich hingesetzt und mal den OpenSSL-Code ernsthaft auf Fehler untersucht.
Man könnte also direkt sagen: Marktwirtschaftlich orientiert entwickelter Code ist hier grandios gescheitert.

Die Presse ist gescheitert. Sie hat ihre Informationspflicht nicht erfüllt. Nirgendwo in der nicht-technikaffinen Presse habe ich auch nur eine Erklärung zu diesem Thema gefunden die OpenSource oder auch nur Heartbleed weit genug verstanden hat um das Problem zu erklären.

Wir haben Dinge wie das BSI und unser nationales Zaiber-Abwehrzentrum. Andere Länder haben ähnlichen Scheiß. Selbst bei Polizei und Geheimdiensten könnte man sich eine Pflicht zusammen reimen wie die dafür verantwortlich sind uns vor solchen Dingen zu schützen.

Die Möglichkeiten waren da. Der Sourcecode ist verfügbar. Sie hätten nur Geld in die Hand nehmen müssen und Infrastruktur auf Schwachstellen untersuchen müssen.

Wenn die Aufgaben dieser Behörden enthalten uns vor Sicherheitsproblemen in wichtiger IT-Infrastruktur zu schützen. Was haben die dann getan? Gerade hier, bei offensichtlichen Problemen in grundlegender Infrastruktur, fragt keiner wozu wir diese Zentren haben.
Warum bezahlen die nicht mal Code-Audits von Linux, OpenSSL, verbreiteten SQL-Datenbanken, Webservern und ähnlichem?

Diese Regierungs-Institutionen sind gescheitert. Sie haben ihre Aufgabe nicht erfüllt.