Wenn eine Lücke in einer "Closed Source" Software gemeldet wird, dann ist der Hersteller gezwungen schnell einen Fix zu liefern. Ansonsten ist seine Software (und sein Unternehmen) schneller weg vom Fenster als die Aktionäre ihre Aktien loswerden können.
Das stimmt, aber wenn man nur das Kompilat in Binärform vorliegen hat, ist das Finden von Lücken natürlich fast unmöglich - vor allem wenn, wie hier wohl, die Lücke nur mit einem bestimmten Schlüssel ausnutzbar ist. Ich denke, wenn im Microsoft RDS so etwas wäre, könnte das nur Microsoft selbst finden. So viele Menschen, die Binärcode lesen können, gibt es nicht...
Darum dreht sich die Diskussion zwischen den Lagern ja (auch). Bei "Open Source" lastet häufig viel Arbeit auf einigen wenigen freiwilligen Programmierern, die teilweise unentgeltlich arbeiten. Das ist in diesem Fall der Grund für den "Super GAU" gewesen.
Es stimmt, dass die Projekte oft von einzelnen Personen betreut werden. Aber den Grund für den Beinahe-GAU sehe ich darin nicht. Ich denke, dass nicht verhindert werden kann, dass jemand sich das Vertrauen erschleicht und eine Backdoor veröffentlicht. Meiner Meinung nach hätten die Systeme der Distributoren es aber spätestens beim Paketieren erkennen müssen.
Und ich denke auch, dass es sogar leichter wäre, V-Männer als Mitarbeiter in Unternehmen einzuschleusen, die Closed-Source Software herstellen, um Lücken einzubauen, als Lücken in Open Source Projekte einzubringen. Denn den Mitarbeitern wird ja bereits ein Grundvertrauen entgegen gebracht, das dahergelaufene sich erst "erarbeiten" müssen.
Wer weiss wie oft (und wo) so eine Backdoor bereits erfolgreich integriert wurde? Aktuell prüft daher die Community sämtlichen Code, was ewig dauern wird.
Ich denke nicht, dass in einem weiteren so elementaren Bestandteil wie SSH etwas gefunden wird. Aber es ist gut, systematisch zu prüfen und eine entsprechende Stiftung wäre vermutlich eine sinnvolle Einrichtung.
Und jetzt ist man auf demselben Stand wie bei "Closed Source" wo ggf. auch Geheimdienste Code eingeschleust haben. Man weiss nicht wo und in welchem Umfang das passiert ist.
Ich sehe da weiterhin einen sehr großen Unterschied. Schaut man sich Projekte wie OpenBSD an (
"Only two remote holes in the default install, in a heck of a long time!"), dann kann man vermuten, dass in Open Source Software sehr viel weniger Lücken sind. Zwar hatte Linux in seiner Geschichte sicherlich mehr Lücken als OpenBSD, aber tendenziell weniger als in Closed-Source-Projekten an unbekannten Lücken schlummern, oder solchen, die nur wenige kennen.