Koszonom a felajanlast – szerintem kommunikaljunk direktben. Irj nekem egy levelet az akos@maroy.hu cimre..

Akos

- Kerckhoff helyesen Kerckhoffs
- polinomiális helyett eredetileg pszeudopolinomiális lett volna, de ez a kicsi, de jelentős elméleti különbség némi magyarázatot igényelne…
- Linus-Raymond törvény (elcseszett linkbeszúrogatás helyett): “Ha elég nagy számú béta-tesztelővel és társprogramozóval dolgozunk együtt, akkor majdnem minden problémára gyorsan fény derül és a megoldás is nyilvánvaló lesz valaki számára.”
- A “…miért csinálja rosszul, miért kell informatikájukat hiper-nyitottá tenniük”
helyett (mert Ákos valóban jól megindokolja, hogy miért szükséges) inkább: miért nemcsak indokolt, hanem lehetséges is megtenni!!!

1. Noha egy igen távoli végcélt illetően nem értünk egyet, de az odavezető részcélok tekintetében nagyon is, ezért szívesen részt vennék egy olyan akcióterv kidolgozásában, melynek eredményeképpen, legalábbis az általam szorgalmazott mérsékelten (vagy ha jobban tetszik korlátozottan) nyílt forrású modell általánosan kötelezővé válna a magyar államigazgatásban.
2. Küszöbön áll (sőt részben már folyik) az Országos Mentőszolgálat operatív irányításainak informatizálása. (Ez egy több, mint 4 milliárdos EU-finanszírozású projekt, amelynek tenderkiírása első körben, tavaly nyáron – Siemens iránti részrehajlás gyanúja miatt – visszavonásra került.) Mi lehetne megfelelőbb terepe a radikálisan nyílt forrású beszerzési modell megvalósíthatósági vizsgálatának? Aggályaim ellenére ebben is szívesen részt vállalnék.

Feltéve persze, hogy ez a webhely nem csupán egy anarchista tag a világháló mindent elbíró homlokzatán…

- A Kerckhoff tézis vagy ennek Shannon általi kiterjesztése csupán szép frázisok a mai magyar valóságban. (De akár támadhatók pusztán elméleti síkon is: mi a biztosíték, hogy egy napon nem kalapál össze valaki a fészerben egy kvantum-masinát, áttörve minden létező bonyolultsági korlátot, ami a jelen gyakorlat kriptográfiai megoldásait illeti… vagy még inkább: az elliptikus görbék módszerén alapuló faktorizálás egy zseniális kiegészítésével a publikus kulcsok feltörése aszimptotikusan polinomiálissá válik – van ez ellen szóló elméleti eredmény…?) Az államigazgatásban üzembe állított rendszerek annyira bug-osak, hogy a “never trust closed source” csak addig magasztos, amíg nem Te felelsz a dolgokért.
Külön szociológiai tanulmányt érdemelne, hogy nálunk miért nem működik a Linus-Raymond törvény (http://en.wikipedia.org/wiki/Linus%27s_law#Linus.27s_Law_according_to_Eric_S._Raymond)… meg sok hasonló racionális dolog, de ezzel már kezdek off-á válni.

- Én még nem láttam olyan szerződést (a vonatkozó kontextusban), amely magában foglalta volna azt a szabadsági fokot, melyről ábrándozol. Ha tudsz ilyenről, akkor ezt érdemes megosztanod, mert esetleg releváns következtetések vonhatók le a költségnövekedésről.

Ez az egész diskurzus mutatja a 0.2 verziójú tanulmányod hiányosságait: madártávlatú közelítésed a problémakörre, nyitva hagy olyan kérdéseket, amelyekre ugyan vannak válaszaid, de ezek hogy győzhetnének meg bárkit is, ha még utalásokat, hivatkozásokat sem teszel rájuk? Egy megvalósíthatóságra vonatkozó kiegészítés foglalkozhatna a gyakorlati nehézségekkel és a leküzdésükre adható megoldásokkal.

Végül: Nem vagyok 100%-os vitapartnered és nem is hagyom, hogy bevigyél az erdőbe. Nem gondolom, hogy a jelenleg használt modell jó. Sőt tiltakozom, hogy ilyesmivel gyanúsítasz! Csupán egy mérsékeltebb, megvalósíthatóbb modell mellett érvelek. Egy olyan modell mellett, amely egyszerre megtartja a titkolózás biztonságnövelő stratégiáját és (többek között) lehetővé teszi a közpénzből finanszírozott IT-projektek széleskörű ellenőrizhetőségét is.
Ha körülnézünk a Világban, hol látni a vitatott modell alapján működő példát? Mi szól a mérsékeltebb modell ellenében az ultra-radikális modellt erősítve? Szerintem mégis Neked kell igazolnod, hogy több, mint kétszáz államigazgatás (köztük néhány igen liberális) miért csinálja rosszul, miért kell informatikájukat hiper-nyitottá tenniük.
(Még akkor is, ha ez afféle “több milliárd légy nem tévedhet” jellegű érvelés…:-))

- masodik: ha biztonsag alatt ’security-t’ ertesz, a valasz egyertelmuen igen. ez az un. “security vs. obscurity” vita, pl. lasd: http://en.wikipedia.org/wiki/Security_through_obscurity#Viewpoints
roviden: biztonsag abbol ered, ha pontosan tudja minden fel, hogy mennyire nehez feltorni egy rendszert. azt kell biztositani, hogy eleg nehez (koltseges) legyen ahoz, hogy ne erje meg.

- harmadik: ez a gondolkodas, habar nem ismeretlen, de hibas. egy egyedi fejlesztes minden joga a megrendeloje, es azt tesz vele, amit csak szeretne. azert van ez igy, mert egyedi fejlesztesrol van szo, es kifizette annak _teljes_ koltseget.

- ’szerintem nem tevedek nagyot’: lasd a security vs. obscurity vitat, altalaban veve nincs igazad.

- nem latom erdobe vivosnek a vitat, es nem latom ‘nem-kostruktivnak sem’. altalanossagokrol nem nagyon lehet vitazni, konkretumokrol viszont egyertelmuen lehet.

a tanulmanyt illetoleg: hat ott a tanulmanyom mi hianyzik neked belole megvalosithatosag alatt?

es leginkabb: miert nekem kellene bizonygatni? latszik, hogy a jelenleg hasznalt modell miert rossz a tarsadalom szepontjabol, erre mar ramutattam. mutasd meg te, hogy szerinted miert jo megis

- azt mondom, hogy aki nem száll be a költségekbe (nem fizet adót), az ne részesüljön azokból az erőforrásokból, amik az alkotmányban rögzített jogai gyakorlásához nem szükségesek; egy informatikai rendszer fizikai megvalósítása szerintem tipikusan ilyen
(szemben pl. a közúthálózattal, ami azért is sánta példa, mert míg a közút esetén a hozzáférés korlátozása, addig az IT-rendszer esetén pl. a forráskód nyilvánosságra hozatala igényel többletköltséget, ha nem is számottevőt…)

- lehet-e az Általad igényelt feltételek teljesítése mellett (és persze ésszerű költségekkel) biztonságos rendszert működtetni? (nem elméletben, természetesen, hanem a kiábrándító valóságban)

- szerintem elég nagy a távolság aközött, hogy a megrendelő saját felhasználásra vagy közzétételre vásárol szellemi termékeket és ez rendszerint megnyilvánul a termék árában is

Szerintem nem tévedek nagyot, ha úgy vélem, hogy a fizikai megvalósítás közzététele elsősorban a rosszindulatú hozzáférőknek kedvez, amely viszont a közjó érdekének sérülésével járhat. (Murphy szerint ekkor csak idő kérdése, hogy így is járjon…)

Egyébként hangsúlyozom, hogy nézeteltérés köztünk csupán a nyilvánosság csipetnyi mértékében lelhető.

(Őszintén szólva elég lusta vagyok az ilyen szájbarágós, néhány értetlenkedő kérdéssel beviszlek az erdőbe jellegű vitákhoz. Jó lenne ezt konstruktívan folytatni! Mondjuk viríts egy megvalósíthatósági tanulmányt a fenti nyílt forrású ultraradikális modellt illetően. Tudod, ördög a részletekben…

igen, felotlottek bennem, am ugy gondolom, hogy ezek vagy tipikusan ‘rossz’ ervek, vagy egyenesen komolytalanok. vegyuk szemre:

- eloszor, azt mondod, hogy aki nem fizet adot, az ne ferjen hozza a kozjavakhoz? jol ertem? ha igen, akkor ezt erosen komolytalannak tartom, hisz kb. azt mondod, hogy nyugidjas ne jarjon a kozjoszagot kepezo jardan.

- masodszor: lehet, hogy szerinted elegendo – szerintem nem

- harmadszor: igen, ez egy erv, ami neha felmerul. a kerdesem: mitol teszi dragabba a fejlesztest az, hogy ha a megredenlo, aki egyebkent is teljes mertekben birtokolja a munka eredmenyet, azt vegulis szabadon kozzeteszi?

ill. nem ertem a vegso kerdesedet, ami azt sugalja, hogy itt valamilyen csoportnak kedvezne egy ilyen felvetes, az altalanos kozjo rovasara. kerdesem: hol serul a kozjo erdeke?

Meglepne, ha ezek nem ötlöttek volna fel Benned. Szerintem ahhoz, hogy törekvéseitekkel ne a fantazmagória kies tájaira tévedjetek, hogy bárki is komolyan vegye ezt a közösséget, szerintem elérhető célokat kell kitűzni.
Egyébként nem alaptalanul vetődhet fel:
“- Ja, az a hacker-érdekeket szolgáló csoport…?”

Nem ertem az aggalyaidat – reszletezd!

1. Megrendelőt monolitikus szereplőként kezelve a szokásos durva általánosítás hibájába eshetünk. Ezeket a rendszereket gyakran a Megrendelő használja, üzemelteti és esetleg valamilyen szinten szupportálja is. A hibásan, dilettáns módon megvalósított, aluldokumentált,…stb. rendszer által közvetlenül sújtott emberek, azok az alkalmazottak (is), akik a fenti tevékenységeket végzik és viselik a döntéshozó(k) (és/vagy számukra több tízezer forintos mérnöki órabérért tanácsadók) szakértelmének hiányát.

2. Akik összetévesztenék a nyílt forrású beszerzési modellt a nyílt forráskódú eszközöket, komponenseket és nyílt szabványokat alkalmazó (nyílt szabványú beszerzési modell?) megvalósításokkal, azoknak felhívnám a figyelmét, hogy az utóbbi eset messze nem garancia a vendor lock-in elkerülésére!

3. Én az ideális megoldást valahol a nyílt szabványú és a nyílt forrású beszerzési modell között látom. Ebben a forráskód és a fizikai rendszer-dokumentáció (és persze az adatvagyon) csak a megrendelő részére hozzáférhető, de más információk (a tenderkiírástól, a nyertes pályázaton keresztül az elemzési, logikai rendszerterveken át, a felhasználói dokumentációig, a mindenkori rendelkezésre-állási adatokkal a helpdeszkkel együtt a hibakövetésig és a kinyert BI-információkig,… stb.) olvasásra elérhetővé válnának.