staging.inyokaproject.org

Hallo!

Bisher habe ich ein solches Thema nicht gefunden, allerdings gibt es auch unzählige Open Source Themen hier,
berichtigt mich einfach mit nem Link falls euch einfällt, dass alles nur kalter Kaba is.

Aber Achtung, ich schreibe hier nur über ne Idee, das ganze ist unstable und nicht in Reichweite → ich wollte mal Meinungen dazu hören.

Die Situation [falls du Open Source Software kennst, überlies diesen Abschnitt]:

Open Source Software ist Software, bei der mindestens als Standard gilt:

- der Quellcode muss veröffentlicht werden → andere Menschen können das Programm verstehen.
- das Programm darf beliebig kopiert und verbreitet werden, der Quellcode meistens zum Selbstkostenpreis. → verbreite das Gute 😉
- das Programm der beliebig angepasst werden.

Meist werden entsprechende Programme unter einer Lizenz veröffentlicht, die die Bedingung enthält,
das Endprodukt müsse wieder unter der gleichen Lizenz veröffentlicht werden. Z.B. GPL

Um die Lizenzen schließt sich der bewertende Rahmen der Open Source Definition,
der als Maßstab für die Prinzipien und Mechanismen gilt, was den Aufbau der Lizenzen betrifft.

Das Problem

Niemand kann sofort sagen, ob der Quellcode nach dem Kompilieren
mit der Install-Version übereinstimmt.

Niemand kann den kompletten Quellcode lesen, denn:

-verschiedene Programmiersprachen
-die Programme sind zu groß, zu komplex und zu speziell
-es sind zu viele Programme
-es ist unübersichtlich, wer wo was publiziert

Die ersten drei Punkte sind eigentlich gut, man kann es nicht anders haben. Programmiersprachen haben unterschiedliche Einsatzgebiete und Programme unterschiedliche Funktionen. Natürlich sind sie groß [Anzahl Code-Zeilen], komplex [sie erledigen schwierige Aufgaben] und speziell [sie erledigen eine Aufgabe richtig bzw. hauptsächlich].
Und eine bunte große Programmlandschaft ist wirklich kein Problem. Auch der letzte Punkt hält sich in Grenzen: Man published einfach aus Sourceforge oder verbreitet mit launchpad oder google code.

Also, warum meckere ich 😉?
Weil der erste Satz immer noch stimmt: Authentizität bzw. niemand kann den ganzen Quellcode lesen.
Es dürfte klar sein: an den Gründen dafür sollte sich auch nichts ändern.

Die Idee

Warum schafft man nicht eine Plattform, die die Distribution von Programmen erleichtert, aber zusätzlich prüft, ob der Quellcode der angebotenen Version entspricht?
Zumindest bei den stable-releases die für Endbenutzer gedacht sind. Man könnte den Quellcode automatisch kompilieren, und dann mittels ner Checksumme prüfen ob das kompilierte Produkt dem Original entspricht. Dieser Mechanismus fehlt bei Sourceforge.
Dann braucht man den Quellcode nur einmal komplett zu verstehen und kann ihm das Prädikat sicher geben. Wenn man mit den beliebtesten Programmen beginnt wäre der Effekt enorm. Man vertraut momentan irgendwie blind, dass Open Source Software sicherer ist, weil der Quellcode offen liegt. Ob das wirklich stimmt, weiß man nicht. Was im Quellcode wirklich drinsteckt, weiß man auch nicht.

Man bräuchte halt einen Rechencluster, d.h. viele User müssten ihre ungenutzte Rechenpower zur Verfügung stellen, ähnlich wie bei der PS3.

Soweit der Plan 😉.

Das ist bei allen Buildservices so. Also z.B. der openSUSE Buildservice, sicher das umfangreichste Angebot, aber alle großen Distris werden so gebaut, niemand kompiliert da etwas auf seinem Heimrechner und läd das dann hoch.

Du meinst es wird schon vor dem Publishen geschaut, dass der Quellcode dem Original entrspricht?
Aber wer schaut den Quellcode durch, was das Program macht?

nufunk hat geschrieben:

Du meinst es wird schon vor dem Publishen geschaut, dass der Quellcode dem Original entrspricht?
Aber wer schaut den Quellcode durch, was das Program macht?

Das kommt auf die Distribution an. Bei Distributionen mit fest angestellten Entwicklern (Ubuntu, Suse, Red Hat) kümmern diese sich um die offiziell unterstützten Pakete. Bei Ubuntu betrifft das "main" und "restricted".

Bei Distributionen, die keine fest angestellten Entwickler haben (Gentoo, Debian, Arch) gibt es in der Regel Maintainer für einzelne Pakete bzw. Teams von Maintainern, die sich um einen bestimmten Bereich kümmern (z.B. die KDE-herd bei Gentoo, die alle KDE-Kern-Pakete verwaltet). Die Maintainer werden beim Eintritt in das Entwicklungsteam in der Regel überprüft. Bei Debian müssen sich Anwärter sogar persönlich identifizieren und werden durch einen langen und aufwendigen Aufnahmeprozess geschleust, um ihre Identität zu verifizieren und ihre Arbeitsweise zu überprüfen. Bei Gentoo läuft das ähnlich, wenn auch nicht so streng und langwierig. In diese Kategorie fallen auch nicht offiziell unterstützte Pakete bei Ubuntu (in den "multiverse" und "universe" Repos). Hier sind die Maintainer für den Code verantwortlich.

Falls diese Frage wieder auf die alte Frage nach dem Vertrauen zielt: Du musst dem Distributor bzw. den Maintainern der einzelnen Pakete vertrauen. Ansonsten musst du den Code eben lesen.