Hallo,

Ich glaube, wir missverstehen uns grundlegend: Mir ging es nur um die hiesige Beispielsituation eines bestimmten Softwaretyps und die konkreten Vorteile der potentiellen Quelloffenheit für den Endbenutzer.

Nein, warum denn? Die Quellen sind öffentlich, jeder ist in der Lage sie zu kontrollieren. (...)
Es ist absolut kein Vertrauen notwendig.

Mein ganzes Posting drehte sich darum, dass eben nicht ∗jeder∗ in der Lage ist. Ich möchte mich nicht vollinhaltlich wiederholen, ich denke, dass ich diesen Kernpunkt durchaus verständlich herausgearbeitet hatte.

Nochmal kurz und auf den Punkt:
Closed-Source kann ich _nicht_ kontrollieren, ich _muß_ dem Ersteller vertrauen.
Open-Source _kann_ ich kontrollieren, ich muß dem Ersteller _nicht_ vertrauen.

Die Aussage meines Postings war eben, dass die in diesen Sätzen »ich« bezeichnete Person eben nicht gleich ∗jeder Anwender∗ ist.
Solche Software, ob nur als Binärdateien oder als Quellen erhältlich, kann der Anwender selbst nicht kontrollieren. (Das ist eine Tautologie, weil diese Aussage schon in der Bedeutung des Wortes »Anwender« steckt: der Endbenutzer. Derjenige, der mit einem Automobil fährt, ohne selbst das Know-How und das Equipment zu haben, ein Automobil selbst zu bauen.)
Bei Closed-Source muss der Anwender letztlich großes Vertrauen den Ersteller legen.
Bei Open-Source muss der Anwender den Kontrolleuren bzw. der gewissenhafte Kontrolle an sich vertrauen.

Auf was fußt (...) das Vertrauen [gegenüber OSS-Communities] letztlich (...)?

Auf der Möglichkeit, das man es im Notfall selber kontrollieren - _nach_kontrollieren kann?

Nicht einmal im Notfall ist das bei meinen Prämissen relevant.

Auf Öffentlichkeit? Warum sind Gerichtsverfahren in der Regel öffentlich? Genau: damit man kontrollieren kann, das auch ja kein Richter Unsinn macht. Dafür müssen aber keine Volljuristen im Publikum sitzen. Es besteht jedoch die Möglichkeit welche hinzuschicken

Darum ging es mir die ganze Zeit: Mangels eigener Kompetenzen dem Urteil von Fachmenschen zu vertrauen, die der Anwender hier nicht einmal direkt beauftragt und entlöhnt, sondern die ihm eher fremd sind und zu denen er in keinem Verhältnis hat.

oder gar selber die Juristerei zu erlernen

Selbst die Feinheiten der Softwareentwicklung zu lernen, ist für den Anwender keine Option, das schloss ich von Anfang an aus.

Letztlich muss man sich darauf verlassen, dass alles seine Richtigkeit hat, dass überall gewissenhafte Menschen arbeiten, die von gewissenhaften Menschen kontrolliert werden, dass wie du sagst keine riesigen Verschwörungen existieren. Und dass die Gruppenprozesse, die bei Unregelmäßigkeiten sofort entsprechende Lauffeuer entfachen, tadellos funktionieren.

Nein, man muß sich bei OpenSource auf rein gar nichts verlassen, da man einfach kontrollieren kann.

Mein Punkt war eben: Der gewöhnliche Anwender (»man«) einer stinknormalen Software hat nicht (direkt) die Möglichkeit, (unmittelbar) die Entwicklung der Software zu kontrollieren, und schon gar nicht »einfach«. Und im Falle der mittelbaren Kontrolle muss er (für gewöhnlich, das heißt bei kleineren OSS-Projekten) Leuten Vertrauen schenken, deren Glaubwürdigkeit er im Grunde nicht einschätzen kann.

Bei den vielen kleinen nützlichen (Open-Source-)Programmen von Unbekannten, die du ansprichst, bin ich mir aber sicher, dass große Codeteile nie von Dritten geprüft wurden.

Es spielt für die Sicherheit keine Rolle, ob die Möglichkeit zur Kontrolle auch ausgeübt wurde.

Der gemeine Anwender muss notwendigerweise davon ausgehen, dass alle Möglichkeiten der Kontrolle schon von gewissen Menschen ausgeübt wurden – wie gesagt.

Denn: wird es gebraucht, kann nachkontrolliert werden.

Ja. Aber nicht durch den Anwender. Letztlich sind es (in den meisten Fällen) ehrenamtliche Mitglieder der jeweiligen Community, die sich um das Projekt gebildet hat. Als Privatanwender muss ich mich – ich wiederhole mich – auf diese Menschen verlassen.

Trotzdem führe ich diese Programme mit Rechten aus, mit denen sie die Benutzerdaten löschen oder sensible Daten, Spam und Viren versenden könnten, den Rechner zum Zombie für DDoS-Attacken missbrauchen könnten usw. usf. Dazu braucht nicht einmal viel Code im Programm selbst angelegt sein, vielleicht nur eine unscheinbare Lücke, die das nachträgliche Einschleusen von beliebigem Code zulässt.

Ja, und warum hast Du sie nicht erkannt? Die Möglichkeit dazu war ja gegeben, da die Quellen offenliegen.

Weil ›ich‹ als Anwender diese Möglichkeit ∗nicht∗ habe.

Wenn Du sie nicht nutzt ist das Deine eigene Entscheidung und nicht dem Prinzip anzulasten.

›Ich‹ als Anwender habe keine andere Wahl. Das »Prinzip« stellt sich aus ›meiner‹ Perspektive hinsichtlich der Frage des Vertrauens nicht grundlegend anders da als das Closed-Source-Prinzip.

Mathias