EU finanziert Code-Review: Open-Source-Projekte gesucht

[inne]

Mit einem Pilotprojekt will die EU die IT-Sicherheit verbessern. Nun sind die Nutzer gefragt: Welches Open Souce-Projekt sollte einen Sicherheits-Check bekommen?

Ich wäre für die folgenden Perl Module:

- libmime-lite-html-perl
- libmime-lite-perl
- libwww-perl
- libxml-feed-perl

Inkl. Abhänigkeiten... Ganz aus eigen Interesse. Nur bräuchte man wohl ein paar Big-Player, damit die von der EU das auch ernst nehmen^^

Welche Projekte würdet ihr vorschlagen?

http://www.heise.de/newsticker/meldung/ ... itrag.atom
Hier die Umfrage: https://ec.europa.eu/eusurvey/runner/EU ... are-choice

[rendegast]

http://www.heise.de/forum/heise-online/ ... d-4956935/
Ein sehr negativer Kommentar von Expat zu KPMG "EU-FOSSA".

[inne]

(Kommentare lese ich so selten...)

[inne]

Heuer kam wieder was dazu auf Pro-Linux:
http://www.pro-linux.de/news/1/23746/fs ... n-auf.html

Die haben nun wohl Dokumente veröffentlicht:

Die Dokumente wimmeln auf 550 Seiten nur so von Fehlern und lassen darauf schließen, dass die Consulting-Firmen keinerlei Ahnung von freier Software und der freien Software-Gemeinschaft haben.
[...] findet man daher in den Dokumenten nur Allgemeinplätze, die womöglich aus Büchern und Richtlinien abgeschrieben wurden.

Aber noch ist das ja nicht beendet:

Nun ist es laut Kirschner wichtig, der EU kompetentes Feedback zu geben.

Insbesondere ruft die FSFE aber alle Interessenten dazu auf, die Dokumente zu lesen und Feedback zu geben.

[uname]

Ich finde es ja gut wenn sich die EU für Open-Source einsetzt. Nur sehe ich keinerlei Notwendigkeit eine Consulting-Firma zwischenzuschalten. Wer spenden will kann Geld direkt an die Organisation spenden. Dann kommt das Geld auch zu 100% an und es ist einzig und alleine Aufgabe der Organisation das Geld sinnvoll einzusetzen.

[BenutzerGa4gooPh]

Wer spenden will kann Geld direkt an die Organisation spenden. Dann kommt das Geld auch zu 100% an und es ist einzig und alleine Aufgabe der Organisation das Geld sinnvoll einzusetzen.

So kann man aber nicht Entwicklungen lenken oder mit Teilen der Fördermittel auch "Freunde" bedenken.

Altes CDU-Wahlplakat kurz vor der Wiedervereinigung: "Freunde helfen Freunden". Es wurde Wort gehalten - nicht nur im Osten. Stoiber und Oettinger in der EU, Guttenberg dort IT-Berater. Luftblasen steigen immer nach oben, hat Archimedes nachgewiesen. Na zumindest, wenn die Umwelt dichter ist.

Das Projekt besteht aus drei Teilen. Neben einer vergleichenden Studie der Entwicklungsprozesse von Software in den EU-Institutionen und der freien Softwarewelt, die erkunden soll, wie man ein Code-Review freier Software für die EU durchführt, und der Ermittlung, welche freie Software im Europäischen Parlament und der Europäischen Kommission Verwendung findet, sollen auch ausgewählte freie Projekte einem Code-Review bezüglich ihrer Sicherheit unterzogen werden.

Sagt doch fast alles, Debian, Redhat und Free/OpenBSD sind für die EU so wie sie bisher sind, unbrauchbar/unsicher und man weiß noch nicht mal, wie man das feststellen soll. Was hat man denn jetzt Feines und natürlich auch Sicheres zu laufen? Ohne "Review". Windows wird am Ende reichen, aber man lässt das am besten von Dritten feststellen. Consulting vor Entlassung war schon immer eine gute Methode. Kann man den Arbeitern, Betriebsräten, Gewerkschaften oder hier dem Steuerzahler viel besser beibringen. Und der befreundete Consulter hat auch was davon.

Die Frage ist, wer die 3 (!!!) Consulter sind, kostet ja nichts - und ob es dafür eine Ausschreibung gab:

Wie FSFE-Präsident Matthias Kirschner jetzt schreibt, haben die drei beauftragten Consulting-Firmen Dokumente zum ersten Teil des Projekts vorgelegt. Entgegen den ausdrücklichen Empfehlungen der Free Software Foundation Europe wurden die Dokumente hinter verschlossenen Türen verfasst, und erst der endgültige Stand wurde veröffentlicht. Das Ergebnis lässt Kirschner befürchten, dass der größte Teil des Budgets von einer Million Euro ohne positive Auswirkungen auf freie Software ausgegeben wird.

Man kann vielleicht was tun, jedenfalls die, die Englisch reden:

Insbesondere ruft die FSFE aber alle Interessenten dazu auf, die Dokumente zu lesen und Feedback zu geben. Die Dokumente liegen als PDF-Dateien auf der EU-FOSSA-Seite vor. Die relevantesten dürften WP1-04, WP1-05, WP1-07 und WP2-11 sein. Die FSFE kann alle Aktivitäten koordinieren, so dass niemand alle Dokumente lesen muss. Interessenten wenden sich daher am besten auf Englisch an discussion@fsfeurope.org. Das Feedback wird provisorisch auf dieser Webseite gesammelt. Auch E-Mails an die Diskussionsliste der FSFE oder Kirschner selbst sind möglich.

Ich tue es nicht, das Geld kommt eh bei den Falschen an und Windows war und ist für die EU-Abgeordneten völlig ausreichend, was anderes werden die Consulter nicht feststellen. Mir geht es auch völlig am Arsch (sorry) vorbei, welches OS und welche Software die Damen und Herren in Brüssel nutzen, um ihre Sch* zu verzapfen. Langsam verstehe ich jedoch die Briten.

[inne]

Noch sind die Docs eh leer: Z.B. das Annex "List of prioritised projects".
Aber dass seht ja schon im Artikel bei Pro-Linux.

[eggy]

Inzwischen sind nen paar Dokumente da, die Liste der untersuchten Projekte ist "interessant". Kennt ihr davon mehr als eins?

[inne]

die Liste der untersuchten Projekte

Welches ist denn das? Beim quer-lesen und mit mäßigen Englischkentnissen habe da jetzt nix gefunden.

[eggy]

Namentlich als Einzelprojekt (in WP1-01-Annex) genannt ist Piwik, in dem Beschreibungen der anderen Projekte kommen dann Java, Docker, Coldfusion, Oracle und co vor .. da ist dann bestimmt "sehr gewissenhaft" und "im Detail" draufgesehen worden.

[inne]

// OpenSSL, kennt man doch.

[eggy]

Liste der Projektkomponenten:

Code: Alles auswählen

Alfresco
Angular JS
Apache
Bash
CEF PEPS
ColdFusion
ColdFusion (with fusebox for older parts)
CSS
digit data centre
Documentum & xCP
Drupal
ECAS
EJBs
ElasticSearch
etc
Grafana
grails
Hibernate
HP IDOL
HTML
Icinga
IDOL
J2EE 
JAVA
JavaScript
Java Serverfaces
JEE
Jira 
JPA
jQuery
JS
Kendo UI
Kibana
LAMP
LAMP stack from DIGIT
LDAP
leaflet
logstash
maven
MySQL
Nexus
Oracle
Oracle 11 DB
ORACLE 11g
ORACLE DB 11g
ORACLE FORMS
Oracle (now on linux cluster)
OS-Geonetwork
PHP
Piwik
PL SQL
PostgreSQL
PrimeFaces (JSF)
Python
RunDeck
slf4j
Solr
Spring
spring framework
Spring MVC
Tomcat
Vaadin
WebLogic (now on linux cluster)
WebServices

Mal eben nen Blick drauf werfen und gut ist.