So lange kommerzielle Nutzer*innen OpenSource mit Freeware gleichsetzen, werden wir wieder und wieder essentielle Sicherheitslücken wie #Heartbleed oder #Log4Shell erleben.
Wenn selbst Großkonzerne ihre Produktsicherheit von Projekten abhängig machen die engagierte Ehrenamtler*innen ohne Gegenleistung in ihrer Freizeit betreuen, dann kommen wir da nicht von weg, dass uns die Infrastruktur regelmäßig um die Ohren fliegt.
Und nein, dass ist kein Abgesang auf OpenSource oder missbilligt den Einsatz, den viele Menschen bringen, für die Tools, die wir täglich nutzen. Ganz im Gegenteil! Quelloffene Software ist die einzige Option, um sichere und vertrauenswürdige Softwareentwicklung zu gewährleisten.
Aber wenn einzelne Projekte eine gewisse Bedeutung bekommen, dann müssen sie finanziell unterstützt werden - und zwar von denen, die damit gutes Geld verdienen!
Nur so sind Audits und Bugbountys gerecht zu finanzieren.
@Kurt das gilt sicher für Bibliotheken und viele Basisstrukturen. Bei bestimmten Softwareprojekten wird der Grad der Komplexität auf Grund des Ziels oder des Zwecks prinzipbedingt aber immer hoch sein und sich nicht unter ein gewisses Minimum drücken lassen.
Beispiel: Betriebssysteme, Webbrowser (mit all ihrem Funktionsumfang), ...
felix
Matthias Kneiss
Kurt