Svært mye program­vare inneholder utdaterte åpen kildekode-kompo­nenter

[Harald Brombach (digi.no)]

Svært mye program­vare inneholder utdaterte åpen kildekode-kompo­nenter

[Kajac]

Klart det. Når det gjerne lanseres nye versjoner som ikke er bakoverkompatible med gamle versjoner, vil folk gjerne la være å oppgradere fremfor å skrive om kodebasen (eks. Angular1 vs 2, Yii vs Yii2), etc. Mitt inntrykk er at OSS-komponenter bryter kompatibilitet langt oftere enn kommersielle produkter.

[pitrh]

Det sentrale problemet her er vel at komponenter ikke blir vedlikeholdt eller oppdatert, ikke om de aktuelle komponentene er åpen kildekode eller noe annet.

Jeg tillater meg å ikke umiddelbart tro at manglende vedlikehold er et større problem i åpen kildekode-sammenheng enn andre kontekster.

Men det finnes dessverre en hel del eksempler på at firmaer har grabbet noe åpent tilgjengelig kildekode, laget et produkt på toppen, gjerne med mindre tilpassinger i den åpne koden som de så ikke sender tilbake oppstrøms ('upstream') til det åpne prosjektet, gjerne uten å kommunisere med det åpne prosjektet overhode. Resultatet kan da bli at produktets versjon lokale versjon etterhvert blir så forskjellig fra det åpne utgangspunktet at vedlikehold blir vanskelig (Citrix Netscaler vs FreeBSD er et slikt eksempel).

 

[qualbeen]

Tror ikke løsningene hadde blitt tryggere og mindre sårbare, dersom alle utviklere skulle programmert alt helt selv. 

Tvert imot!

Så ja, det er utfordringer rundt å dele kode. Men løsningen er ikke å slutte med det. Da blir status bare enda værre!

[quantum]

Kajac skrev (8 timer siden):

Klart det. Når det gjerne lanseres nye versjoner som ikke er bakoverkompatible med gamle versjoner, vil folk gjerne la være å oppgradere fremfor å skrive om kodebasen (eks. Angular1 vs 2, Yii vs Yii2), etc. Mitt inntrykk er at OSS-komponenter bryter kompatibilitet langt oftere enn kommersielle produkter.

Tja, nå fins det gankse mange kommersielle produkter som bygger på åpen kildekode, så utsagnet ditt blir igrunnen meningsløst. Dessuten; hva hjelper det om kommersielle produkter oppdateres om brukerne ikke oppgraderer? 

Men ja, du har rett når det gjelder Angular for eksempel. Tror nok Javascript-økosystemet er såpass modent nå at det går an å unngå slike problemstillinger der like godt som på mer etablerte plattformer. Opensource-plattformer.

Helt generelt er dette med bakoverkompabilitet vs. ny og bedre design/funksjonalitet et dilemma som ikke har noe med open vs. closed source å gjøre.

Endret 13. mai 2020 av quantum

[-Birger-]

Det er ikke problem at de er open source. det er at en velger å bruke utdaterte komponenter, Det samme gjelder når bedrifter benytter kommersielle biblioteker og produkter for den saks skyld. Det skjer oftere en mange tror ettersom oppgraderinger i en liten komponent kan få en rippel effekt innover i andre systemer. Da kommer fort diskusjonene om det er lønnsomt å oppgradere. Risikoen ved å bli på gamle systemer vurderes gjerne ikke som så farlig før noe går galt.

[asshole]

Hadde koden vært lukket vile man sansynligvis ikke visst om sårbarheten i utgangspunktet. Med åpen kode vet man i det minste hvilke sårbarheter man har:-D