Ab wann vertraut ihr einer Open Source Anwendung?

  • Was sind die Kriterien nach denen ihr entscheidet ob eine Anwendung richtig vertrauenswürdig ist um ihr wichtige Daten anzuvertrauen?

    Überprüft ihr (falls möglich) ob die App die ihr gedownloadet habt auch den selben Source-Code hat, wie zum Beispiel auf GitHub steht?

    Seid ihr jemand der den Source Code von Apps selbst durchliest um den Code zu überprüfen?


    Es geht mir hierbei nicht um große Sachen wie z. b Firefox oder Linux Distributionen sondern eher um Apps die von kleinen Teams oder Einzel Entwicklern gemacht werden und dann vielleicht 5-100k downloads haben

  • Da ich keine Nuklear- oder Ebolaforschung betreibe installiere ich einfach die App die ich benötige um meine Arbeit zu machen - ohne weiter darüber nachzudenken.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • Auf Github sind die teilnehmenden Entwickler, die Anzahl der Code Maintainer, Releases & Patches, Bugs + Fixing und die Github Metriken für Aktivitäten sehr gut. Sofern eine gewisse Menge an Leuten aus unterschiedlichen Ecken aktiv mit dem Code arbeiten und dieser Änderungen hat - sinkt die Wahrscheinlichkeit für Schadsoftware.

    Wenn du selber mehr Sicherheit haben willst, so ist eine Code Review nötig und Ausführung in einer Sandbox, die wieder per Snapshot zurückgestellt werden kann (reset snapshot etc.)

    Wenn es ganz irre sein soll - machst du ein Snapshot deines Systems und siehst dir die Differenz vor und nach Ausführung der Software incl. Aktionen an.

    Distrib Pakete sind getestet und meist auch geprüft! Snap und Flatpak ist immer auf eigene Gefahr, wobei hier auch ähnliches Kriterien wie oben erwähnt zählen.

    Was ich immer mit Vorsicht sehen würden sind PPA (Ubuntu) oder AUR Packages (Arch User Repro) Hier muss irgendwie bekannt sein, dass der Quelle vertraut werden kann.

  • Was sind die Kriterien nach denen ihr entscheidet ob eine Anwendung richtig vertrauenswürdig ist um ihr wichtige Daten anzuvertrauen?

    Nun, wenn es bei mir soweit gehen würde, hätte ich wahrscheinlich eine Wohnhöhle irgendwo im tiefen Wald wo kein einziger Mensch jemals hinkommt. Ernähren würde ich mich wahrscheinlich von Früchten und Beeren und da nur von denen die ich auch kenne.

    Spaß beiseite, man kann es, meiner Meinung nach, wirklich übertreiben.
    Wenn du so denkst, dann ist es wohl besser du schreibst dir deine Software selbst und kabelst dich vom Internet ab.

    Dann musst du aber auch aufpassen, dass du beim Einkauf in einem Geschäft ja nicht irgendwie deinen Namen preis gibst, nicht mit Karte bezahlst.
    Urlaub kannst du dann auch keinen mehr buchen, denn dort musst du ja auch deine Daten preis geben.
    Da hast du auch keine Kontrolle mehr was die mit deinen Daten machen.

    Und glaubst du früher war es anders?

    Ganz im Gegenteil. Da haben viele Geschäfte und Unternehmen eine Kundenkartei gehabt und konnte jeder ganz einfach hinein sehen. Auch wurden damals Daten auch ganz einfach an befreundete Unternehmen weiter gegeben.

    Da könnte ich noch ganz viele Beispiele aufzählen.

    Man kann auch vor Angst sterben .........

    -----------------------------------------------------------------------------

    Lehre jemandem, wie man angelt, anstatt ihm jeden

    Tag einen Fisch zu geben.

    -----------------------------------------------------------------------------

  • Dann musst du aber auch aufpassen, dass du beim Einkauf in einem Geschäft ja nicht irgendwie deinen Namen preis gibst, nicht mit Karte bezahlst.

    Das Bargeld solltest Du nicht in der nähe des Geschäftes abholen wo Du es ausgeben möchtest...vorzugsweise eine andere Stadt...und wer auf ganz sicher gehen möchte in einem anderem Land auf einem anderem Kontinent;)

    Linux Mint Cinnamon Nutzer seit 18.04.2023

    In World without Fences and Walls, who needs Gates and Windows?

  • Sobald ich ein Programm nicht kenne, wird erst mal ein bisschen recherchiert. Entweder per Suchmaschine, oder ich frage Freunde, die im IT-Bereich tätig sind. Sonst kommt es mir nicht auf den PC, egal. ob open source oder nicht

  • Also ganz ehrlich darüber habe ich mir nicht wirklich Gedanken gemacht. Für sogenannte Testphasen von Anwendungen wird ein kleiner Rechner als Versuchskaninchen benutzt und wenn da alles läuft, dann ruff uff dat unproduktive Arbeitssystem.
    Ich bin ja erst Anfang 2024 richtig auf Linux umgestiegen und habe mir da vorher Gedanken gemacht was ich für die Zukunft benötige und dann habe ich hier und im Netz geschaut welche Erfahrungen gemacht wurden. Und damit fahre ich bisher sehr gut!

    Gruß Stephan

    aus Berlin - seit 2024 LINUX Mint User mit Fokus auf Bild- & Videobearbeitung + Gaming - Laptop mit Manjaro mit Plasma ausgestattet

    meine Wallpaperś 32:9 für Euch, viel Spaß damit!

    Desktop: 6-core model: Intel Core i5-8400 - Laptop T490: 4-core model: Intel Core i7-8665U

  • Du könntest zB auch so vorgehen, dass Du je nach Anwendung Dir Programme nach dem Schema aussuchst, dass Du in der Suchmaschine nach einer bestimmten Anwendung suchst, zB 'Videobearbeitung' und dann noch dazu schreibst 'Linux.' Dann bekommst Du immer auf verschiedenen Internetseiten eine Auflistung von Programmen die auf Linux dafür verfügbar sind. In solchen Listen sind dann die Programme aufgeührt, die auch am meisten genutzt werden. Seriöse namhafte Internetseiten werden da nur Programme aufführen, die seriös und auch weitläufig bekannt sind.

    Beispiel:

    CDs rippen › Wiki › ubuntuusers.de

    Wenn dann ein Programm bei Deinem Fedora-Linux nicht in den Repos enthalten ist, lade es einfach als Flatpak herunter oder geh auf flathub.org auf Suche, kennst Du ja schon ;) da kannst Du Distributions-übergreifend Software herunterladen.

    'Was du nicht willst, das man dir tu, das füg auch keinem andern zu'

    It is about time

    * Linux Mint Cinnamon, Ultramarine Linux, für Spiele Windows 11

  • Selbst wenn der Sourcecode sauber ist und die ausführbare Datei auch aus diesem Quellcode erstellt wurde, könnte es noch einen Backdoor im Compiler geben. Also am besten auch noch den Compiler kompilieren, aber das bringt nur etwas wenn dieser Compiler sauber ist. :P

    Hier gibt es ein interessantes kurzweiliges Video zu dem Thema.

    Ken Thompson Hack: Every Computer Is Backdoored
    You might think your computer is safe and secure but how do you really know, how do you know your system hasn't been backdoored and it's hiding itself from…
    odysee.com
  • Grundsätzlich vertraue ich nur meiner Frau und meiner Tochter und am Ende mir selber.
    Bei Software ist das nicht so einfach - relativ vertrauenswürdig sind die Inhalte der Repos z.B. bei Debian.
    Bei Anwendungen und Tools aus Dritt-Quellen ist immer Vorsicht geboten. Open Source ist dabei kein Qualtitätsmerkmal.
    Aber, wie josefine schon bemerkt hat, man kann sich auch verrückt machen...

  • Da ich keine Nuklear- oder Ebolaforschung betreibe installiere ich einfach die App die ich benötige um meine Arbeit zu machen - ohne weiter darüber nachzudenken.

    Also, angenommen du siehst eine interessante Software in irgendeinem Store oder im Internet, die bisher von 10 gedownloadet wurde. Würdest du die dann auch installieren und ausführen?

    Auf Github sind die teilnehmenden Entwickler, die Anzahl der Code Maintainer, Releases & Patches, Bugs + Fixing und die Github Metriken für Aktivitäten sehr gut. Sofern eine gewisse Menge an Leuten aus unterschiedlichen Ecken aktiv mit dem Code arbeiten und dieser Änderungen hat - sinkt die Wahrscheinlichkeit für Schadsoftware.

    Das sind dann so nicht so gut aus oder?


    Nun, wenn es bei mir soweit gehen würde, hätte ich wahrscheinlich eine Wohnhöhle irgendwo im tiefen Wald wo kein einziger Mensch jemals hinkommt. Ernähren würde ich mich wahrscheinlich von Früchten und Beeren und da nur von denen die ich auch kenne.

    Ich wollte damit eigentlich nicht grundsätzlich misstrauen äußern, das habe ich ja am Ende meiner Nachricht extra noch mal erwähnt.

  • Selbst wenn der Sourcecode sauber ist und die ausführbare Datei auch aus diesem Quellcode erstellt wurde, könnte es noch einen Backdoor im Compiler geben. Also am besten auch noch den Compiler kompilieren, aber das bringt nur etwas wenn dieser Compiler sauber ist. :P

    Hier gibt es ein interessantes kurzweiliges Video zu dem Thema.

    https://odysee.com/@BrodieRoberts…y-computer-is:1

    Kann man eigentlich einen Compiler in einer nicht compilierten Sprache schreiben um damit dann einen richtigen Compiler zu compilieren?


    Sobald ich ein Programm nicht kenne, wird erst mal ein bisschen recherchiert. Entweder per Suchmaschine, oder ich frage Freunde, die im IT-Bereich tätig sind. Sonst kommt es mir nicht auf den PC, egal. ob open source oder nicht

    Du könntest zB auch so vorgehen, dass Du je nach Anwendung Dir Programme nach dem Schema aussuchst, dass Du in der Suchmaschine nach einer bestimmten Anwendung suchst, zB 'Videobearbeitung' und dann noch dazu schreibst 'Linux.' Dann bekommst Du immer auf verschiedenen Internetseiten eine Auflistung von Programmen die auf Linux dafür verfügbar sind. In solchen Listen sind dann die Programme aufgeührt, die auch am meisten genutzt werden. Seriöse namhafte Internetseiten werden da nur Programme aufführen, die seriös und auch weitläufig bekannt sind.

    Beispiel:

    https://wiki.ubuntuusers.de/CDs_rippen/

    Wenn dann ein Programm bei Deinem Fedora-Linux nicht in den Repos enthalten ist, lade es einfach als Flatpak herunter oder geh auf flathub.org auf Suche, kennst Du ja schon ;) da kannst Du Distributions-übergreifend Software herunterladen.

    Ist eine Verlinkung auf einer Seite wie https://alternativeto.net ein Sicherheitsmerkmal? Ich suche dort oft nach Software, weil das System zum suchen dort sehr gut funktioniert.

    Edited once, last by HelloWorld (July 25, 2024 at 10:18 AM).

  • Also, angenommen du siehst eine interessante Software in irgendeinem Store oder im Internet, die bisher von 10 gedownloadet wurde. Würdest du die dann auch installieren und ausführen?

    Klar. Wenn die Software mein Problem löst. Ich frage mich aber auch was du und andere de gan zen Tag so machen. Ich habe das Gefühl ihr installiert jeden Tag 100 neue Softwares.

    Ich richte einmal meinen Computer ein, installiere dann die Software die ich brauche (SoftMaker Office, Visual Studio Code, FileZilla Pro, ZSH, etc) richte das alles ein. Dann habe ich 3-4 Jahre Ruhe. Spätestens, dann geht der Computer eh in Rente, es gibt einen neuen und dann wiederhole ich den Task.

    Das hier Software mal ausgewechselt wird passiert nur selten. Das letzte mal vor 4 oder 5 Jahren wo PHPStorm durch VisualStudio Code ersetzt wurde.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • ok das ist eine speech-to-text software von einer Organisation oder Firma ... so genau sieht man das nicht. Hier gibt es aber kaum forks, issues etc. Also wäre ich hier etwas vorsichtig. Die Software kann völlig in Ordnung sein, doch bei mir würde mal die gelben Lampen angehen. text-to-speech bieten auch google & co. Ob das nun besser ist, sei dahingestellt ...

    Gibt es das nicht als reguläre App im Smartphone? Was ist dein Ziel?

  • Würdest du die dann auch installieren und ausführen?

    Ich sehe das wie kim88 . Wenn eine Software für meine Bedürfnisse taugt, dann installiere ich sie. Da ist es mir egal, ob sie von 1 oder von 1 Mio. Benutzer bereits geladen wurden. Solche Statistiken sagen genau nichts aus, denn auch diese kann man anpassen und "aufhübschen".

    OS: EndeavourOS | Desktop: Gnome 46.4 | Kernel: 6.10.8-zen1-1

    MSI MAG X570 Tomahawk WIFI | AMD Ryzen 9 3900X | 2x 16 GB G.Skill RipJaws V DDR4-3200 | Sapphire NITRO+ AMD Radeon RX 7800 XT | Seasonic Prime PX-750 80+ Platinum

  • Ich sehe das wie kim88 . Wenn eine Software für meine Bedürfnisse taugt, dann installiere ich sie. Da ist es mir egal, ob sie von 1 oder von 1 Mio. Benutzer bereits geladen wurden. Solche Statistiken sagen genau nichts aus, denn auch diese kann man anpassen und "aufhübschen".

    hm, das halte ich für einen gefährlichen Rat und die Meinung teile ich nicht. Wenn ich Software suche, sollte sie schon gewisse Grundkriterien (siehe mein Beitrag weiter oben) erfüllen. Es muss ja nicht alles sein, doch Augen auf bei der Software Wahl! 8)

  • HelloWorld mich würde interessieren, wofür Du diesen Thread aufgemacht hast? Hoffst Du auf Erkenntnisgewinn oder hast Du einfach Bock auf Plauder-Diskussionsthreads?

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!