[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] MS Source Code Policy



Hi,

On Tue, 21 May 2002, Markus Schaaf wrote:

> http://www.eweek.com/article/0,3658,s%253D701%2526a%253D26875,00.asp
> 
> May 13, 2002 
> Allchin: Disclosure May Endanger U.S.
> By  Caron Carlson 
> 
> A senior Microsoft Corp. executive told a federal court last week that
> sharing information with competitors could damage national security
> and even threaten the U.S. war effort in Afghanistan. He later
> acknowledged that some Microsoft code was so flawed it could not be
> safely disclosed.
..

Nun, in einer "normalen Welt" wäre ein solches öffentliches Bekenntnis das
Aus für eine Software, auf deren Sicherheit man sich verlassen muß, und
wenn es sich auch "nur" um eine Anwendung in der Wirtschaft handelt.

Insofern ist das eine reichlich ungeschickte Äußerung und könnte so
Microsoft auf die Füße fallen (aber welcher "Entscheider" liest schon
soetwas und begreift das sogar..)

Andererseits halte ich das gerade für Rechtsstreitwinkelzüge, um eine
Aufdeckung des Codes zu verhindern. Die Ressourcen der größten
Softwarefirma der Welt dürften durchaus ausreichen, um die firmenintern
als problematisch erkannten Stellen im Windows-Code nachzubessern (es
nicht zu tun, spart allerdings Zeit und Geld).

Auch, wenn man z.B. bei der Beschäftigung mit NT 4.0 an den
unterschiedlichen Folgen mitbekommt, daß der Code zum Partitionieren und
Formatieren dreimal geschrieben wurde (Installationsroutine,
"Festplattenmanager" und Kommandozeilen-fdisk/format), so daß da z.B.
dreimal nachgebessert werden müßte.

Sollte es bei Microsoft allerdings firmenintern kaum ein "Sicherheits-TÜV"
existieren, dürfte das Suchen und Verbessern von Schwachstellen etwas
dauern, bis man sich trauen kann, den Code vielen Augen zur Einsicht zu
geben. Vielleicht ist das auch der tiefere Sinn des "Sicherheit ist
wichtig"-Gebrabbels, was man von Gates gerade so hört.

Ich habe allerdings selbst noch keine drei Zeilen MS-Windows-Code gesehen
(eher welchen aus dem Unix/Linux/BSD-Umfeld) und kenne kaum Arbeitsstil
und -methoden bei Microsoft (verkauft man ein Blatt Papier, über das eine
Krähe gehüpft ist, wirklich dort als Konzept? ;)

Gruß
Peter Roß


--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de