This post originated from an RSS feed registered with .NET Buzz by Damir Tomicic. Original Post: Suche nach dem Heiligen Gral der Sicherheit Feed Title: Damir Tomicic : community powered Feed URL: http://tomicic.de/SyndicationService.asmx/GetRss Feed Description: stuff about .NET, community and life - in several languages. Latest .NET Buzz Posts Latest .NET Buzz Posts by Damir Tomicic Latest Posts From Damir Tomicic : community powered

First news first ... Uwe is inside out now. ;-)
 
Und schon einer der ersten Postings behandelt genau das Thema, das mich auch vor einiger Zeit beschäftigt hat. Der Auslöser waren einige Interessenten, die mir diverse Fragen zu Microsoft .NET, unserer "closed source" Software und zu den Gefahren rund um das Windows Betriebssystem gestellt haben. Aufgrund der ähnlichen Erfahrung kann ich seine Worte nur bestätigen. Wir haben uns in München vor einigen Tagen auch darüber unterhalten. Meine ergänzende Meinung aus diesem Gespräch möchte ich nun kurz erläutern. Eines vorweg - das Thema ist sehr breit, man vergleicht gerne Äpfel mit Birnen und tendiert leicht dazu die Bösen und die Guten zu identifizieren. So einfach ist es wirklich nicht. Mir geht es hier nicht darum, diesen Weg zu bestreiten. Vielmehr fokusiere ich eine konkrete Fragestellung: die Suche nach dem heiligen Gral der Sicherheit eines Systems. Dazugehörige Legenden und Mythen aber auch. 

Nicht immer falsch, jedoch sehr oft und zuletzt immer öfter, werden so einfache Aussagen zur Wahrheit und zu festen Grundsätzen einer Philosophie. Eine davon betrifft die Sicherheit eines Systems und lautet: "Open Source Code ist sicher, weil Code offen ist, Closed Source Code ist unsicher, weil Code nicht offen ist".

An sich verständlich. Nur leider falsch. Die Tautologen mögen mir verzeihen, hier greiffen ihre Regeln aber nicht. Die Einfachheit dieser Aussage verbirgt so viele Gefahren. Denn, die Sicherheit hat wenig mit "Closed" oder "Open" zu tun. Dafür sehr viel mit dem Code. Siehe hierzu: Die Angst eines Luftkissens vor der Nadel "All Input is Evil"!

Nun, was tun? Den Aussagen auf den Grund gehen oder einfach glauben?

Wie viele andere Sachen im Leben, eignet sich die Software-Entwicklung (als Prozess) sowie die eigentliche Software (als ein wichtiger Teil der Magie, die Maschinen zum Leben erweckt) bestens für den Aufbau einer Gemeinschaft der Gläubigen. Menschen, die keine Hintergründe erfahren brauchen, die keinerlei Interesse an Beweisführung pflegen und liebend gerne das Wort zum Sonntag verbreiten möchten. Manch einer bezeichnet die Aussagen als Legenden, die Gläubigen würden lieber von der ultimativen Wahrheit sprechen. Natürlich gehören die Prediger und Prister genauso gut wie die heiligen Bücher dazu. Ob wir hier über die Kirche, dem örtlichen Schützenverein oder über eine technologische Gemeinschaft sprechen, spielt eigentlich keine Rolle. Die Regel sind die gleichen, die Anzahl der Mitglieder vom Fall zu Fall unterschiedlich.

Wie kommt es dazu? Man versteht z.B. etwas nicht, aus diesem oder jenem Grunde. Eines Tages erscheint die Antwort im Form eines eigenen Geistesblitzes oder Dank fremder Hilfe. "Verdammt, ich hab's!" würden die Stundenten schreien, die Gläubigen pflegen eher von der "Erleuchtung" zu sprechen. Zum Teil froh endlich die Botschaft verstanden zu haben, zum Teil auch stolz einer Gruppe gleichdenkender Menschen zu gehören, verbreiten diese Menschen hochmotiviert das (un)geschriebene Wort mit dem Eifer eines jungen Bullen.

Aber stimmt es eigentlich, was man nun zu verstehen glaubt? Oder ist man einer bösen Falle der retorischen und literarischen Götter zum Opfer gefallen? Mehr darüber hoffentlich (aufgrund diverser Termine) bald ;-)

Bis dahin einige Buchempfehlungen: