Zo veel amateuristische prutsers die software maken dat er niet genoeg professionals zijn om het
allemaal te reviewen waardoor het gewoon in gebruik genomen wordt ondanks de claims dat open
source tot een zekere kwaliteit zou leiden doordat iedereen de fouten kan zien.
(ipv closed source waar ook prutswerk in zit maar dat zie je dan pas na uitgebreid puzzelen)

Ook weet je niet met welke hoed op de contributors hun software aanleveren. Wie zich uitgeeft als
een security onderzoeker aan een universiteit zou best wel eens een pion van een geheime
dienst kunnen zijn, die je veiligheid juist wil verslechteren.

Dat iedereen zonder enige problemen de fouten in de bron code kan zien, en misbruiken.
Code is immers voor iedereen toegankelijk.

Denken dat het veiliger is. Waardoor men zich veilig voelt.

Security problemen heb je overal, open source of closed source maakt weinig uit.
Het gaat er vooral om hoe snel security problemen aangepakt worden.

Iedereen gaat er vanuit dat OSS veiliger is dan PROP software omdat het open is maar hoeveel mensen doen aan code auditen? Zeer weinig tot geen. Weet je hoeveel OSS er is?

PROP heeft een commercieel belang en wordt beter getest. Dus OSS is niet per definitie veiliger.

Één van de nadelen is, dat wanneer de ontwikkelaar stopt, er vaak geen ondersteuning meer is, je moet altijd letten op de grootte van de groep ontwikkelaars.
Ook v.w.b. de veiligheid is de grootte van de ontwikkelaars-groep belangrijk, in een grote groep is er meer controle mogelijk, dan in een kleine groep.
Tegenwoordig zijn er steeds meer bedrijven, die hun software als OpenSource uitgeven, waarbij het verdien-model de ondersteuning is.
In België is software die ontwikkeld is voor de overheid zelfs automatisch OpenSource, omdat de belastingbetaler het betaald heeft.
Nederland kan en mag hier een voorbeeld aan nemen.........

Waarbij opensource niet per definitie betekent dat het je minder geld kost. Vooral als je een blik developers op een project moet gaan zetten, om het bruikbaar te maken.

Het nadeel van OSS dat ik ervaren heb is dat ontwikkelaars stoppen met ondersteuning van hun software, omdat de wereld is doorbewogen naar een alternatief, dat meer volgers heeft en meer donaties ontvangt. Het lijkt soms wel een life-game. Gebruikers gaan er graag vanuit dat software gratis is (gekraakte Windows 10 anyone, of netjes licenties betaald?) en vragen graag bij de ontwikkelaars om meer features, zonder te waarderen hoeveel tijdinzet het kost. Doorgaan met gebruik van de software zonder support kan de security schaden.

Kwaliteitsverschil heb ik niet ervaren (integendeel), wel minder fraai uitgewerkte functionaliteit of een lagere ontwikkelingssnelheid ten opzichte van commerciële software. Sommige OSS heeft een geweldige lange levensduur en de meeste OSS wordt platformonafhankelijk aangeboden als principe.

Commerciële software geeft mij veel minder inzicht in de werking, minder invloed op de werking en helemaal geen invloed op de doorontwikkeling. Daarnaast heeft deze software de neiging de gebruiker in haar ecosysteem vast te houden en allerlei functionaliteit in te sluiten, die bij OSS meer naast elkaar/aanvullend te vinden is (zoals oudere Java versies).

Veel software in IoT apparaten is als OSS begonnen en is vervolgens door een commerciële leverancier zoveel verminkt en voorzien van spionagefeatures, dat security voor de gebruiker ernstig heeft geleden.

Bijhouden van security updates en dergelijke, voor zover beschikbaar, wordt bij open source software vaak nog veel slechter bijgehouden dan bij closed source waarbij je updates van de leverancier krijgt. In sommige bedrijven zie je dat dergelijke zaken snel even worden opgezet, door iemand die een pakket kent, en verder niet worden bijgehouden.

(Natuurlijk niet op iedere omgeving van toepassing)

Ik geloof dat je niet in plaats van closed source maar net als closed source bedoelt. Daar heb ik, in dure pakketten voor bedrijven, een ontstellende hoeveelheid prutswerk gezien die ik vaak genoeg helemaal niet zo moeilijk vond om te herkennen.
Er is iets geks met die claim. Hij wordt aanzienlijk vaker gemaakt door critici van open source, om hem tegen te kunnen spreken, dan door voorstanders van open source.

De oorspronkelijke claim, "many eyes make bugs shallow" of iets van die strekking, was een observatie die in "The Cathedral and the Bazaar" gemaakt werd over hoe het Linux kernel-project functioneert: als er bij de daar gehanteerde manier van werken een bug is gevonden dan dient zich meestal snel iemand aan die de bug doorziet en die de oplossing eenvoudig vindt en ook weet te implementeren. Dat gaat dus niet over het vinden van bugs maar over het oplossen van eenmaal gevonden bugs, in de context van een groot project dat veel (>1000) vaak zeer professionele ontwikkelaars weet aan te trekken. Iedereen die ervan maakt dat als de broncode maar openbaar is de kwaliteit spontaan omhoog schiet slaat de plank mis. Het is geen magisch proces, bijdragen zijn er alleen als er mensen zijn die bijdragen.
Patches van wildvreemden worden, ook bij kleine projecten, niet ongezien overgenomen. Ik heb in de loop van de jaren een paar keer een patch aangeleverd die niet werd overgenomen terwijl de fout die hij oploste wel werd opgelost, alleen op een andere manier dan ik had aangeleverd. Dat komt omdat mensen die de code door en door kennen meestal beter overzien waar en hoe iets het beste geregeld kan worden. Het punt dat ik maak is: ze kijken wel degelijk kritisch of ze het met de aangeleverde patch eens zijn. Dat beeld dat een project aan de wolven is overgeleverd omdat mensen van buiten patches aan kunnen leveren klopt niet.

Open source software is echt niet allemaal even goed, de kwaliteit varieert van waardeloos tot geweldig.

Voor de voor- en nadelen is het belangrijk om te beseffen dat open source in de eerste plaats slaat op een aantal software-licenties die gebruikers recht geven op de broncode, op het maken van eigen aanpassingen en op het verder verspreiden van de software, aangepast of niet. Dat recht om het verder te verspreiden betekent dat aan de verkoop van software of sofwarelicenties geen goud geld te verdienen is bij open source (al staan de licenties toe dat je het probeert). Omdat er bij commerciële software meer te verdienen valt kunnen commerciële softwareleveranciers ook veel meer investeringen aantrekken en vaak veel sneller met allerlei nieuwe dingen op de markt komen. Open source-tegenhangers van die software lopen daar vaak bij achter, maar worden wel langzaam maar gestaag beter (althans als het project belangrijk genoeg is om ontwikkelaars te trekken en vast te houden). En op een gegeven moment kan het zo goed zijn dat er niet meer tegenop te concurreren valt. Het is niet voor niets dat grote softwarebedrijven als IBM, Oracle en Microsoft Linux ondersteunen, ze weten dat ze met een alternatief OS voor de segmenten waar Linux sterk is geen markt meer kunnen veroveren. Dus kiezen ze ervoor het te ondersteunen (ook door mee te ontwikkelen eraan) en het als basis te gebruiken voor dingen waar ze wel geld mee kunnen verdienen. LibreOffice haalt het in een aantal opzichten nog niet bij MS Office, maar wie weet blijkt over tien jaar dat het inmiddels zo goed is dat het commerciëel niet meer interessant is om een office-pakket te leveren (of een overeenkomstige cloud-dienst). Ik weet niet of het ook echt gebeurt, maar het zou kunnen.

Bij commerciële software is ondersteuning door de leverancier gewoonlijk inbegrepen. Bij open source kan commerciële ondersteuning voor bedrijven ook beschikbaar zijn, bedrijven als RedHat leven daarvan. Als je daar niet voor betaalt ben je bij problemen afhankelijk van wat je op het web kan vinden, ondersteuning van welwillende medegebruikers op fora, en de afhandeling van bugmeldingen door de makers van een pakket of van de Linux-distributie die je gebruikt. Dat pakt in veruit de meeste gevallen prima uit, het zijn meestal heel exotische problemen die maar weinig mensen hebben waarvoor oplossingen lang op zich laten wachten, en zulke problemen zijn zeldzaam, maar je hebt als niet betalende gebruiker geen recht op support gekocht en je kan nou eenmaal niet op hoge poten rechten opeisen die er helemaal niet zijn. Dat is voor veel bedrijven reden om alleen met software te werken waar die betaalde support wel voor beschikbaar is.

Voor wie zelf software verspreidt en daarin open source-componenten wil gebruiken: zorg dat je de licenties van die componenten leest en snapt. Dat je de software gratis mag gebruiken wil niet zeggen dat er geen restricties zijn. Het is mogelijk dat licenties van componenten botsen met de licenties waaronder jij je software verspreidt, of met elkaar. Doe je juridische huiswerk.

Je vraag is zo algemeen dat die niet goed beantwoord kan worden.

Er zijn nl. een aantal soorten OSS:
- Hobby projecten
- Groep ontwikkelaars die samen iets brouwen
- Commerciele toko's die hun code openbaar publiceren, maar waar niet iedereen zomaar aan kan mee ontwikkelen
- Commerciele toko's die hun code openbaar publiceren, maar gecontroleerd publieke ontwikkelaars aan mee doen.
- etc. etc

Om jou vraag te beantwoorden moet je dus eerst de scope aangeven: mbt welke soort OSS zoek je een antwoord ?

De security nadelen zijn eender voor open source als voor closed source. Met dat verschil dat je open source kan reviewen en bij closed source de leverancier moet vertrouwen. En vertrouwen is goed, maar controle is veel beter. De praktijk is dat die controle niet altijd gedaan wordt.

Daarnaast kun je bij open source iemand inhuren om 'iets' op te lossen, maar bij closed source ben je afhankelijk van de bereidwilligheid van de leverancier.

Ik hanteer altijd het open source eerst, tenzij closed source een betere ervaring geeft.
Open source dan wel een oplossing waar een actieve community achter zit en niet iets dat in 1998 door een eenling is ontwikkeld. Ik kan namelijk de code niet reviewen en moet vertrouwen op de community. Bedrijven waar geld de drijfveer is, en dat zijn de meeste bedrijven, vertrouw ik niet zondermeer.


Moet zou ik willen zeggen.

Het problemem blijft verlaten software.
J.O.

Het meest genoemde nadeel is dat de broncode, en dus ook de veiligheidsfixes openbaar zijn. Daarmee wordt het door kwaadwillenden makkelijker om een exploit te maken.
Een voordeel is dat de vinder van de veiligheidsbug zelf ook een patch kan aanleveren voor de bug.

Voor zowel Open als closed Source geldt dat de houding van de ontwikkelaars de meest bepalende invloed heeft op de veiligheid van de software.

Een closed source leverancier die stopt met het product of security updates is pas echt een probleem, dan sta je met je rug tegen de muur. Bij opensource kan je een kundig persoon inhuren die de zaak altijd kan fixen.

Gemakkelijk voorbeeld: Wie hebben er allemaal Windows 10 nodig als Windows 7 nog gepatched zou worden?

Er komt een laatste patch voor Windows 7 en de updates lopen niet door want die stoppen over een paar maanden.

Windows 10 is de laatste versie van Windows. Ze komen dan met rolling releases, een soort service packs 2-5x per jaar waar voor je moet betalen met een abonnement. Nieuwe features komen zo binnenrollen.

Misschien dat Microsoft Windows10 verandert in een andere flitsende naam maar daar blijft het bij. Ze gaan dit ook voor de zakelijke markt promoten. De nieuwe Windows heeft veel verbeteringen t.o.v. Windows 8. Er komt misschien een Windows Light voor tablets.

Je hoeft je niet druk te maken over Windows 7 security op de lange baan want men verwacht dat mainstream Windows 10 zal draaien binnen 2 jaar. Virusschrijvers zullen zich dan ook op Windows 10 gaan richten en niet erg bezig zijn met de ontwikkeling van malware voor een minder populaire en niet meer ondersteunde Windows. Volgens deze regel wordt Windows 7 veiliger met de tijd ;-) Voor apparaten die niet aan internet zijn gekoppeld kun je het nog prima jaren laten draaien.

Je snapt het punt niet.

Geheime diensten die de veiligheid verslechteren? Paranoia zit duidelijk in je DNA. Geheime diensten horen te zorgen voor binnenlandse veiligheid (AIVD heette vroeger Binnenlandse Veiligheidsdienst hoewel daar natuurlijk ook mensen kunnen werken met twijfelachtige oorsprong of waarvan "de stoppen plotseling doorslaan". Laten we daar maar niet vanuit gaan :-)

Het voordeel van open source is dat lekken eenvoudiger ontdekt kunnen worden door iedereen die de computertaal waarin ze is geschreven machtig is. Geen 'reverse engineering' nodig. Het nadeel is dat er zoveel kaf tussen het koren is verschenen en nog gaat verschijnen dat het niet bij te benen is voor het legertje "ethische hackers". De goeden moeten weer eens onder de kwaden lijden zonder ook maar een oordeel te vormen wie of wat feitelijk "goed" respectievelijk "kwaad" is.

Extra voordeel: Hacker kunnen ook gemakkelijk de code screenen op fouten. Geen 'reverse engineering' nodig
Extra eigenschap: Het is schijnveiligheid, omdat de er nog steeds zoveel grote fouten naar voren komen in basic code.

Ik ken zeer weinig closed source producten dat niet volldig aan elkaar hangen van de open source componenten.

Gebruik je een closed source product? dan krijg je er gratis heel veel open source componenten bij.
Het heeft alle problemen van de open source componente georven en heeft daar de vendor lock-in en onvalideerdbare code aan toegevoegd.

Alleen om die reden al kan closed source niet beter zijn.
Einde discussie over open/closed source :)

Fout voorbeeld, Je draait toch ook niet meer op Ubuntu 14.04?
Windows is niet verlaten, je moet gewoon updaten/upgraden.

Het grootste gevaar is software waar na jaren gebruik ineens niet meer aan ontwikkeld wordt. Gewoon omdat de maker er geen zin meer in heeft. Bij OSS moet je niet verwachten dat er een update komt, je moet blij zijn dat hij er komt, de ontwikkeling is geheel vrijblijvend.

Inderdaad! En je kan altijd achterhalen wat er nou precies gebeurt, daar onder de motorkap.


Stel dat Windows 7 inderdaad open source zou worden. Dan zou je iemand moeten vinden die dat kan en wil onderhouden. Voor zo'n grote hoeveelheid broncode is dat niet triviaal en je zal ook meer dan een paar personen nodig hebben.

De code van Windows 2000 staat gedeeltelijk online. Iemand daar al eens in gekeken? Mhoeahahaha! Wat een rommel is dat! En dan de scheldpartijen onder afdelingen in de remarks. Volgens hun zelf deed de een het nog wat slechter als de ander.

Geef mij maar OSS dan. Daar zie je dat soort rotzooi tenminste niet want niemand zou dat durven publiceren onder eigen naam.

Kijk bijvoorbeeld hier:

https://www.cvedetails.com/top-50-vendors.php?year=2018

Die lijst geeft in de context van deze discussie een verkeerde voorstelling van zaken. Die vertekening ontstaat doordat een groot open source project, zoals de Debian distributie, uit zo'n 51.000 software packages bestaat, waarvan de doorsnee gebruiker slechts een fractie toepast. In absolute aantallen levert dat veel CVEs op, maar dat zegt niet zo veel.

Een juister vergelijking van de prestaties van closed source leveranciers versus de kwaliteit van open source projecten, is niet op basis van CVEs per jaartal, maar aan de hand van de CVSS Score Distribution, dus met deze lijst:

https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php

Daarin worden de gepubliceerde CVEs gesorteerd op basis van hun aantal, aard en ernst. Wat je in die CVSS Score lijst ziet, is dat Microsoft het er niet goed van af brengt. Ze staan samen met Oracle en IBM al sinds tijden in de Top 3. Mij zul je niet horen beweren dat alles koek en ei is in de open source wereld, maar kom niet met manke vergelijkingen aan.

Deze specifieke manke vergelijking is hier al zo vaak aangedragen door pro Microsoft activisten en evenzovele malen gecorrigeerd met de harde objectieve feiten. Maar het kwartje wil maar niet vallen...

De manke en kromme vergelijking van open source good closed source bad. Wordt door oss evangelisten verkondigd maar het kwartje wil niet vallen.
Dat kwartje is dat grote commerciële bedrijven een lading oss code met hun dure producten mee verkopen
Echter de ondersteuning en noodzaak van beheer laten ze als iets ovebodigs achter. Het totaal resultaat is dat het slechtste van beide werelden de praktijk kan zijn.

Zoals ik al zei wordt het hele punt aangaande manke vergelijking gewoon niet begrepen en wordt er steeds allerlei niet ter zake doende context bijgesleept die in het geheel niet relevant is voor een correcte vergelijking.


Dat is niet het geval (behalve misschien tussen jouw oren en/of jouw werkomgeving).

Het kan ook het beste van beide werelden zijn.
Morgen kan er een ijstijd aanbreken, maar er kan ook een hittegolf komen.

Het probleem met alle mogelijkheden is dat het met economische inslag neigt naar wat niets kost.
Darrme gaat het de richting van het slechtste op.
Net zoals ordening in de natuur niet de logische situatie is. Met entropie neigt het naar verval en chaos.

Niet in oktober.

Gelukkig dat jij geniaal bent, en het zo ontzettend veel beter zou doen, dan die prutsers. Van harte gefeliciteerd, held. Geef jezelf nog even een schouder klopje. Was iedereen maar zo goed, zoals jij !

Tuurlijk. En de kruidenier op de hoek, wellicht undercover bij de recherche, om jou in de gaten te houden. Laat jij trouwens altijd jouw beveiliging regelen, door mensen die onderzoek doen aan een universiteit ?

Dus wat die grote commerciële leveranciers nalaten is volgens jou het kwartje dat over open source moet vallen. Laat ik het even op een rijtje zetten, jij ziet dit:

[1] open source-project ? [2] grote commerciële leverancier ? [3] afnemer van die grote commerciële leverancier

Dus [3] krijgt geen goed product als [2] verzuimt door te geven wat [1] aan verbeteringen ophoest. Nogal wiedes. Waar je botst met de mensen die je voortdurend beledigt door ze "evangelisten" te noemen is door dat als probleem van open source te positioneren. Maar wat [2] niet goed doet gaat niet mis bij [1], dat gaat mis bij [2] zelf. Dat is ook nogal wiedes.

Je verwart FOSS met OSS. Want OSS kan prima commercieel zijn, zodat ontwikkelaars er meer tijd in kunnen steken (snellere ontwikkeling, polijsten) en betere ondersteuning kunnen leveren. Bijvoorbeeld via crowdfunding of sites als Patreon kan dat laagdrempelig gerealiseerd worden.

Vrije software kan ook commercieel zijn, je mag er geld voor vragen, en er is niets dat crowdfunding verbiedt. Free staat niet voor gratis maar voor vrij.

De term FOSS of FLOSS wordt gebruikt als overkoepelende term voor vrije en open source-software. Op Wikipedia staat een tabel waarin je in de kolommen "FSF approval" en "OSI approval" kan zien dat de meeste FOSS-licenties zowel vrij als open source zijn maar dat er enkele licenties bestaan die wel onder de ene maar niet onder de andere definitie vallen. Het komt erop neer dat het twee sets criteria betreft die in de praktijk grotendeels maar niet helemaal overlappen.
https://en.wikipedia.org/wiki/Comparison_of_free_and_open-source_software_licenses#Approvals

Goh, dáár staat dat free dus voor! Weer wat geleerd ;-)