Door Anoniem: Klinkt als: 'Wij hebben alleen maar de software beschikbaar gesteld, anderen (zonder expertise) hebben het verkeerd gebruikt."
Het gaat hier over software die door bedrijven wordt ingezet, veelal op servers. Dan heb je het over professioneel gebruik waarbij je inderdaad expertise bij de gebruiker mag verwachten. De zorg die hij uitspreekt over hoe banken steeds meer hun beveiliging aan de laagste bieder uitbesteden gaat precies daarover: de benodigde expertise is aan het afkalven omdat men de laagste kosten najaagt.
De formulering "Ja, ik weet dat ik dom ben en ik weet het nog steeds zeker" vind ik heel ongelukkig gekozen, trouwens. "Ja, ik ben me ervan bewust dat dit een gevaarlijke instelling is maar ik weet wat ik doe" was beter geweest. Dat hij het niet al te letterlijk zo bedoeld kan hebben als hij het formuleerde wordt duidelijk als je bedenkt dat de configuratie van veel van die software, inclusief Log4j, helemaal niet via dialogen gaat waar je "ja" of "nee" aanvinkt, maar via configuratiebestanden die je met een teksteditor bewerkt, of dynamisch vanuit het computerprogramma dat de component gebruikt. Dan heb je het over waarschuwingen die in de documentatie van de configuratie-opties of de API-documentatie staan, en commentaar in eventuele voorbeeldconfiguratiebestanden en voorbeeld-broncode. Dat levert hoe dan ook andere formuleringen op dan deze, dus heel letterlijk zal hij het niet bedoeld hebben.
Door Anoniem: Anderen verwijten zonder te vertellen wat ze dan fout hebben gedaan.
De eigen fouten bagatelliseren zonder duidelijk te zijn waarom de kwaliteit acceptabel zou zijn.
Vergeten te noemen dat er al jaren waarschuwing is om software hoe dan ook wantrouwig te maken.
Het ligt dus aan iedereen behalve aan Apache of de ontwikkelaars?
Als dat de enige reactie op het probleem was geweest had je een punt gehad, maar dat is niet zo. Ze hebben namelijk wel degelijk de melding opgepakt, gerepareerd, en dat aangepakt op een manier die erop gericht was de schade zo beperkt mogelijk te houden. Dat kan alleen niet zonder dat de gebruikers van de software ook direct in actie komen en die moeten dus ook in staat zijn om adequaat te reageren op een situatie. Het gaat hier om professioneel gebruik van software en dan mag je ook professionaliteit van de gebruiker ervan verwachten.
---
Een ander punt, als antwoord op jullie allebei, is dat dit open source software is die al die professionele gebruikers gratis kunnen gebruiken. De softwarelicentie geeft duidelijk aan, ze benadrukken het door het in hoofdletters op te schrijven, dat de software "as is" geleverd wordt, zonder enige garantie op geschiktheid voor wat voor doel dan ook.
Het is dus geen betaalde software. Je weet dat bij serieuze open source-projecten de makers wel degelijk gericht zijn op het repareren van fouten en beveiligingslekken, maar als je het gratis krijgt moet je niet verwachten dat je op hoge poten van een leverancier kan eisen dat die zich aan een contract houdt dat je helemaal niet met elkaar afgesloten hebt.
Je krijgt als gebruiker in plaats daarvan iets anders: de mogelijkheid om er zelf wat aan te doen. De broncode is beschikbaar, compleet met alle instellingen voor de tools die je nodig hebt om die te compileren. Als je als bedrijf zelf ontwikkelaars in dienst hebt kan je die erop zetten. Als je als bedrijf geld hebt kan je dat inzetten om het een ander te laten doen. Als je een fout weet te repareren kan je behalve een bugmelding te doen ook de reparatie aan het open source-project aanleveren.
Bedenk dat dat een van de fundamenten van het open source-model is: iedere gebruiker kan zijn steentje bijdragen, en door die bijdragen met iedereen te delen profiteert iedereen van de inspanning. Die inspanning hoeft dan niet door iedere afzonderlijke gebruiker van de software opnieuw gedaan te worden, één keer is genoeg. Per saldo krijgt iedere gebruiker, zelfs gebruikers die heel actief bijdragen leveren, veel meer gratis van al die anderen dan ze zelf weggeven. Laat dat even doordringen: open source is een geweldige kostenbesparing, zelfs als je er wél werk in steekt als gebruiker. En het vereist niet dat iedere gebruiker actief meedoet, het is al genoeg als dat maar door een deel van de gebruikers gedaan wordt.
Er zijn natuurlijk zat bedrijven die alleen maar kijken naar het minimaliseren van kosten en die zich als het erop aankomt heel arrogant gedragen alsof ze aanspraak kunnen maken op ondersteuning alsof ze daar wél een contract voor hebben afgesloten. Die hebben simpelweg hun huiswerk niet gedaan. Die letten niet op wat ze in huis halen en waar ze mee te maken kunnen krijgen. Als ze daarmee in de problemen komen is dat door hun eigen nalatigheid en hun eigen gebrek aan professionaliteit. Niemand is verplicht om open source-software te gebruiken, als het model je niet aanstaat kan je ook iets van bij een commerciële leverancier afnemen.
Het is overigens wel degelijk mogelijk om wél betaalde ondersteuning te krijgen op open source-software. Dat kan bijvoorbeeld door een betaalde licentie op een Linux-distributie voor professioneel gebruik te nemen. De garanties die een bedrijf daarmee koopt komen niet van de makers van de software, maar van bedrijven als RedHat die van het leveren van betaalde ondersteuning hun verdienmodel hebben gemaakt. Die zullen zo nodig bugs in software herstellen en de patch aan de eigenlijke makers van de software doorgeven.
Het komt er allemaal op neer dat je als professionele gebruiker van software tot je moet laten doordringen waar je eigenlijk mee te maken hebt en wat dat voor consequenties heeft. Nou zullen supercompetitieve types die alles als een
zero sum game zien het open source-model domweg niet kunnen bevatten. Bij open source profiteert iedereen van wat iedereen weggeeft en krijgt iedereen die wat bijdraagt meer terug dan die zelf weggeeft. Dat is het absolute tegengestelde van een zero sum game, en het kan omdat software informatie is, uit bits en bytes bestaat, die nagenoeg gratis te kopiëren en verspreiden zijn. Maar het is niet het probleem van open source-ontwikkelaars dat er mensen zijn die zoiets niet kunnen bevatten, dat is het probleem en de eigen verantwoordelijkheid van degenen die dat niet kunnen.
Als het op jou allemaal zweverig en utopisch overkomt, en als je het feit niet overtuigend vindt dat er wel degelijk bedrijven bestaan die wél met succes op dit model inhaken en bijvoorbeeld ontwikkelcapaciteit beschikbaar stellen voor de open source-software die ze gebruiken, of ondersteuning ervoor verkopen, gebruik dan vooral geen open source-software.
Maar wat je als bedrijf ook doet: zorg dat je voldoende snapt wat je in huis haalt en wat dat voor consequenties heeft, en haal het niet in huis als je het niet snapt. En dat vergt dat je je huiswerk doet en kijkt waar je eigenlijk mee te maken hebt voor je het gaat gebruiken. Op basis daarvan is het terecht dat men bij Apache professionaliteit bij hun gebruikers verwacht.