From: Boris Kraut To: undisclosed-recipients: ; Date: Wed, 03 Jun 2015 20:06:43 +0200 Message-ID: <20150603200643.0cUg8v@edupad.local> Reply-To: Boris Kraut Subject: [.plan] Microsoft und OpenSource In letzter Zeit haeufen sich ja vermeintlich positive Meldungen von und ueber Microsoft: Schrittweise Freigabe von .net Komponenten unter einer freien Lizenz [0], PDF als Druckvorstufe [1], SSH-Unterstuetzung (Client/Server) [2] und jetzt dieses "Transparency Center" [3]. Es gibt sicherlich noch viele weitere Faelle, die durchaus unter Umstaenden schon eine ganze Weile zurueckliegen koennen, denn Microsoft ist schon lange von seinem verblendeten "OpenSource ist der Feind"-Kurs abgeschwenkt. Genau sollte die FLOSS-Welt ebenfalls von Stammtischparolen abschied nehmen. Microsoft, Google, Facebook, Apple usw. sind alles Unternehmen, die ihrer ganz eigenen marktwirtschaftlichen Logik folgen. Und so sehr wir diese auch ablehnen, koennen wir durchaus die Schritte in die richtige Richtung anerkennen, die Fruechte ihrere Bestrebungen ernten, solang klar ist, dass sie das alles nicht aus den "richtigen" Gruenden machen, dass sie kein Verfechter der Freiheit sind. Gerade Microsoft hat in der Vergangenheit versucht etwas vom FLOSS-Fame ab- zubekommen und den Bedarf an Vertrauen -- gerade bei staatlichen Stellen -- durch "Offenheit", nicht durch "Freiheit" zu decken: Ich erinnere hier bspw. an den unsaeglichen "Shared Source"-Begriff [4] als Gegenkonzept zu "Open Source". Doch es geht doch gar nicht um Open Source, es geht um Free Software, um Freiheit! Aber selbst wenn man in der Microsoft'schen Denke bleibt, fehlt ihnen ein weiterer Schritt, ganz egal wie weit sie ihren Quellcode oeffnen: Verifzierbarkeit und Reproduzierbarkeit. Spaetestens nach Snowden ist klar, dass es nicht reicht den Quelltext zu ueberpruefen -- ihn ueberprufen zu koennen ist selbst ja nur eine Vorstufe dessen --, wir muessen auch sicher- stellen koennen, dass die Binaer-Dateien, die wir nutzen, auch aus diesem Quelltext erzeugt worden sind. Und so schreibt Heise hier richtigerweise: > Experten sind sich aber unsicher darueber, ob die gepruefte Version > derjenigen entspricht, die spaeter zum Einsatz kommt. Microsoft verweist > hier nur auf eine eigene "Methodik", die Regierungen eine "genuegende > Zusicherung" geben soll. Wir sollten diese Worte als Mahnung im Hinterkopf behalten. Microsoft (u.a.) ist und bleibt nicht vertrauenswuerdig. Wir koennen -- und sollten -- die positive Schritte anerkennen, wir koennen gern den Nutzen so weit es geht abschoepfen, aber mehr nicht. Sie sind nicht am Ziel und ich bezweifle, dass es je so weit kommt... aber wir sind es auch noch nicht! Die TOR-Leute haben das Problem schon seit einiger Zeit auf dem Schirm, Debian [5] hat sich auch bereits auf den Weg gemacht und selbst kleine Teams wie FDroid [6] haben Proof-of-Concept Builds, die reproduzierbar sind. Auf der anderen Seite sehe ich Tag fuer Tag, dass viele "Open Source"-Entwickler, sich nicht einmal darum zu kuemmern scheinen, dass ihre Software ueberhaupt auf anderen Systemen kompiliert, ja dass sie entsprechenden Nachfragen und Vorhaben gar argwoehnisch bis feindlich gegenueber stehen. Das muss sich aendern! Quelltext muss frei sein. Er muss verstaendlich sein. Er muss von jedem uebersetzbar sein. [0] http://blogs.msdn.com/b/dotnet/archive/2015/02/03/coreclr-is-now-open-source.aspx [1] http://ct.de/-2671535.html [2] http://blogs.msdn.com/b/looking_forward_microsoft__support_for_secure_shell_ssh1/ [3] http://ct.de/-2678517.html [4] https://en.wikipedia.org/wiki/Shared_source [5] https://wiki.debian.org/ReproducibleBuilds [6] https://f-droid.org/wiki/page/Deterministic,_Reproducible_Builds