Original-URL des Artikels: https://www.golem.de/news/open-source-xscreensaver-entwickler-kritisiert-update-politik-von-debian-1604-120173.html    Veröffentlicht: 06.04.2016 15:15    Kurz-URL: https://glm.io/120173

Open Source

Xscreensaver-Entwickler kritisiert Update-Politik von Debian

Der Entwickler des Xscreensavers streitet sich mit Debian-Entwicklern über deren Update-Politik. Der Zwist offenbare dabei Grundsatzfragen im Umgang von Distro-Maintainern mit Upstream-Entwicklern, die niemandem helfen, meint Sicherheitsexperte Matthew Garrett.

Dass der Aufbau des X11-Fenstersystems es extrem erschwert, den Bildschirm eines Nutzers sicher zu sperren, haben in der Vergangenheit immer wieder Implementierungsfehler wie etwa in Ubuntu gezeigt. Der Entwickler des Xscreensavers, Jamie Zawinski, hat damit Jahrzehnte an Erfahrung und kritisiert nun öffentlich die Update-Politik der Linux-Distribution Debian. Derartige Auseinandersetzungen streifen jedoch auch Grundsatzfragen der Entwicklung von Linux-Distributionen.

Derzeit enthält die aktuell stabile Version von Debian, Jessie, noch die Version 5.30 des Xscreensavers, die 2014 erschienen ist. Nutzer haben deshalb in der Anzeige der Bildschirmsperre eine entsprechende Warnung über veraltete Software erhalten und werden zum Update gebeten. Diese Warnung ist fest im Code des Xscreensavers einprogrammiert.

Doch statt das Paket von Xscreensaver schlicht zu aktualisieren, ist in einem Bug-Report bei Debian diskutiert worden, die Warnung zu entfernen. Zawinski weist in der Diskussion wie auch in seinem Blog auf den Kommentar zu dem Code hin, in dem er empfiehlt, statt der Warnung doch besser das gesamte Paket aus der Distribution zu entfernen.

Veraltet und trotzdem stabil?

Der Standpunkt von Zawinski ist dabei leicht nachvollziehbar. Da es sich bei Xscreensaver um eine potenziell sicherheitsrelevante Software handelt, sind sämtliche Fehlerbehebungen eben Updates für mögliche Sicherheitslücken. Zawinski veröffentlicht die Bug-Fixes in neuen Versionen seiner Software, die teils auch neue Funktionen enthalten.

Die Update-Politik von Debian für die stabile Distribution sieht allerdings vor, keine neuen Versionen von Software in den stabilen Zweig einzuführen. Denn neue Funktionen könnten ja auch neue Fehler enthalten. Das Entfernen von Paketen ist ebenso wenig vorgesehen. Debian erlaubt lediglich das Einpflegen von Patches, die Sicherheitslücken beheben.

Im Gegensatz zu einigen anderen Softwareprojekten bietet Zawinski derartige Patches allerdings nicht gesondert für ältere Versionen des Xscreensavers an. Der Maintainer des Pakets in Debian ist also gezwungen, die Entwicklung von Xscreensaver eng zu verfolgen, aus der neuen Version eigene Patches für Fehler und Sicherheitslücken zu erstellen und diese in Debian bereitzustellen, was auch tatsächlich geschieht.

Nach einigen Tagen Diskussion hat sich der zuständige Debian-Paketbetreuer, Tormod Volden, nun gegen den expliziten Willen von Zawinski dazu entschieden, den Warnhinweis zu entfernen. Diese Änderung steht zunächst nur in Debian Unstable alias Sid bereit, wird wohl nach einiger Zeit aber auch in Jessie eingepflegt.

Sinnvolles Miteinander von Distro und Entwicklern hilft Nutzern

Derartige Diskussionen zwischen den Erstellern einer Distribution und den davon mehr oder weniger losgelösten Entwicklern der einzelnen Softwareprojekte finden immer wieder statt. So hat etwa auch das Owncloud-Team in der Vergangenheit Debian für seine recht konservative Update-Politik gerügt. Auch hier sind Sicherheitsbedenken der Auslöser gewesen.

In einem Kommentar zu der Diskussion um Xscreensaver weist der Sicherheitsexperte Matthew Garrett zusätzlich zu den technischen Schwierigkeiten auch auf die vor allem organisatorischen und zwischenmenschlichen Probleme hin. So werde die Qualität von Software durch Nutzer sehr oft mit den Upstream-Entwicklern in Verbindung gebracht, nicht aber mit der Distribution, wie es eigentlich der Fall sein sollte.

Dies ist auch der eigentliche Grund für das Vorhandensein des Warnhinweises in Xscreensaver. Eigenen Aussagen zufolge erhält Zawinski immer wieder Fehlerberichte von Anwendern zu längst veralteten Versionen, die noch durch verschiedene Distributionen verbreitet werden. Zawinski sieht sich dafür aber absolut nicht zuständig, was wenig kooperativ scheint.

Zwei Seiten einer Medaille

Dass sich Debian, der Lizenz folgend, zwar legal verhält, sich aber dennoch über den expliziten Willen von Entwicklern hinwegsetzt, wirkt letztlich ebenso wenig kooperativ. Garrett stellt fest, dass es freier Software überhaupt nicht nutze, wenn Distributionen die Upstream-Entwickler gegen sich aufbrächten.

"Reflexhafte Reaktionen auf bestimmte Ereignisse sind nicht hilfreich, jetzt ist aber wahrscheinlich ein guter Zeitpunkt, um darüber nachzudenken, welchen Nutzen Debian den Upstream-Entwicklern bringt und wie dieser erhöht werden kann", heißt es weiter. Und falls dies nicht erreicht werde könne, schade dies Nutzern, Debian selbst sowie der Community.

Diese Einschätzung von Garrett könnte wohl ebenso gut mit umgekehrten Rollen gelten. Schließlich sind Nutzer auf ein entsprechendes Miteinander beider Seiten angewiesen. Im Falle des Linux-Kernels mit seinen vielen verschiedenen Zweigen für die Langzeitpflege ist dies eindrucksvoll umgesetzt. Darüber hinaus hat die KDE-Community Anfang März dieses Jahres damit begonnen, eine aktive Diskussion mit den verschiedene Distributionen zu suchen, um einen Austausch anzuregen und eine bessere Zusammenarbeit zu erreichen.  (sg)


Verwandte Artikel:
Google: Chromebooks bekommen "Linux-VMs" und "Terminal"   
(27.02.2018, https://glm.io/133030 )
Linux: Ubuntu 17.10 verursacht schwere Bios-Fehler   
(21.12.2017, https://glm.io/131808 )
Security: Linux-Desktops brauchen bessere Verteidigung   
(01.08.2017, https://glm.io/129244 )
Orange Pi One Plus: 20-Dollar-Minirechner mit Gigabit Ethernet und HDMI 2.0a   
(05.01.2018, https://glm.io/131985 )
Linux-Distribution: Fedora 27 wird modularer   
(15.11.2017, https://glm.io/131147 )

© 1997–2019 Golem.de, https://www.golem.de/