Journal : Microsoft donne 100000 dollars à la fondation Apache
Posté par patrick_g (page perso, ) le 25 juillet 2008
0
La nouvelle est disponible ici :http://arstechnica.com/news.ars/post/20080725-microsoft-to-s(...)
Microsoft devient un sponsor Platinium de la fondation Apache et va verser une somme annuelle de 100000 dollars !
A première vue cela semble très étrange que Microsoft sponsorise ainsi le concurrent de son serveur web IIS...Mais en fait on se rend vite compte que l'ASF (Apache Software Foundation) chapaute une foultitude d'autres projets que le serveur web Apache. L'article évoque notamment le projet "Apache POI" que est une bibliothèque Java pour lire et écrire les divers format Microsoft Office. Ceci explique peut-être cela.
En tout cas ce sponsoring est indéniablement une bonne nouvelle pour le libre.
Peut-être que cette décision de Microsoft est le signe d'un changement d'orientation graduel de la part de Redmond ? Peut-être qu'après la guerre des mots (Linux est un cancer) on se dirige vers un armistice et une période plus coopérative ?
> Lire le journal (94 commentaires, moyenne: 3,2).
Vous avez demandé le commentaire #952834.
Run by 
Cette page a été générée par Templeet en 0.0728s (dont 0.0065 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
hugh
pow pow, peut-etre vont-ils enfin enterrer la h(ap)ache de guerre et fumer le calumet de la paix...
bizarre quand meme comme truc...
You can't grep dead trees...
[^]Re: hugh
Bof.
Il s'agit juste de se faire de la pub. Le gars qui s'y connaît qui proposera à un décideur pressé d'utiliser Apache. Alors évidemment, l'intérêt, c'est que la présence de Microsoft dans les mécènes peut éventuellement influencer positivement le décideur en faveur d'Apache. Par contre, il va être plus difficile d'expliquer pourquoi c'est mieux d'utiliser Linux que Windows.
Tant mieux pour Apache, mais je doute très sérieusement que ça puisse apporter le moindre crédit supplémentaire aux logiciels libres en général.
Et puis 100 000 dollars, bien que ça soit intéressant pour le projet Apache, ça ne représente rien pour Microsoft. Vu la visibilité d'Apache, c'est de la pub pour pas cher. Cette somme aurait été donnée à un projet nettement moins connu, on aurait pu dire que Microsoft aide le Libre. Mais là, non, c'est juste de la pub quasi gratuite.
Encore une fois, ça fait parler de Microsoft. Encore et toujours, Microsoft, Microsoft, Microsoft.
« Le savoir, n'est-ce pas, est un bien précieux. Trop précieux pour ne pas être partagé. »
- Battologio d'Epanalepse, in De Cape et de Crocs, Acte VII (Ayroles & Masbou)
[^]Re: hugh
> Et puis 100 000 dollars, bien que ça soit intéressant pour le projet Apache, ça ne représente rien pour Microsoft.
100 000 dollars c'est l'équivalent d'un ingénieur par an.
Ce que fera l'ASF de ce pognon ca les regardes et je me fais pas trop de soucis, ce sont des grands garcons qui font des choses concrètes au lieu de se masturber sur les ML. Les projets sont autonomes dans Apache, donc je ne vois pas comment ce pognon pourrait changer quoi que ce soit.
Pour rappel http://www.apache.org/foundation/how-it-works.html
[^]Re: hugh
bizarre quand meme comme truc...
peut être que c'est pour avoir des conseils de professionnels sur l'ecriture d'un serveur HTTP efficace et sécurisé ... histoire que Microsoft IIS deviennent enfin fiable.
[+] [^]Re: hugh
Vu le nombre de failles et leurs severite dans les 2 serveurs HTTP ces dernieres annees, je dirais que c'est plutot MS qui donnera les lecons.
[+] [^]Re: hugh
Ah le truc habituel, cachez ce post que je ne saurais voir !
La realite semble douloureuse pour certains.
[^]Re: hugh
sources ?
"get the facts" ou un truc vraiment sérieux ?
You can't grep dead trees...
[^]Re: hugh
Apache 2 : http://secunia.com/product/73/?task=advisories 38 failles, dont 2 de niveau 4
IIS 6 : http://secunia.com/product/1438/?task=advisories 5 failles, dont 1 de niveau 4
[^]Re: hugh
Plus récent :
Apache 2.2 : http://secunia.com/product/9633/?task=statistics 8 failles, aucune de niveau 4, aucune n'ayant atteint le highly critical. Pour IIS je n'ai pas vu de faille atteindre le niveau 4 non plus...
Hôdo
Livingstone
[^]Re: hugh
Compare a IIS7 c'est toujours moins bien :) http://secunia.com/product/17543/?task=advisories 1 faille, de niveau 2
[+] [^]Re: hugh
Ça revient pas trop cher à la fin de commander des études à la noix pour Microsoft ?
[^]Re: hugh
À propos, une question que je me pose depuis longtemps, quelle est la méthodologie générale pour ce genre d'étude ? Parce que jusqu'à preuve du contraire elle ne reporte que les failles découvertes.
Or à partir de là on peut tenir deux raisonnements :
— soit deux programmes qui ont un "capital" faille identique au départ, celui qui a le plus de report de faille par unité de temps sera corrigé plus vite, et sera donc plus fiable à tout instant ;
— soit l'un a moins de report de failles, parce qu'il a beaucoup moins de failles ou plus difficiles à trouver.
On en arrive à des conclusions radicalement différentes. Perso. je vote pour la première option :) mais je ne certifie pas l'objectivité.
De plus, qu'est-ce qui empêche Microsoft de dévoiler toutes les failles qu'il découvre ? Je veux dire de part la nature du développement d'Apache, il y a un biais.
[^]Re: hugh
C'est pas une etude, Secunia est une boite de securite qui recense toutes les failles, c'est simplement une liste.
Pour tes raisonnements, j'ai du mal a comprendre le premier, avoir plus de rapports de faille par unite de temps ne signifie pas forcement qu'elles sont corrigees plus vite.
Quand a MS qui les devoile ou pas, c'est hyper-simple, dans 99% des cas les failles sont trouvees par des gens externes, bref c'est pas MS qui decide si elles sont devoilees ou pas, et sachant que c'est en trouvant des failles que les chercheurs en securite font leur beurre, tu devines ce qu'ils font. Le developpement d'Apache n'a rien a voir la dedans, car la aussi les failles sont quasiment tout le temps trouvees par des gens externes qui les rapporteraient quel que soit le mode de developemment.
[^]Re: hugh
Pour tes raisonnements, j'ai du mal a comprendre le premier, avoir plus de rapports de faille par unite de temps ne signifie pas forcement qu'elles sont corrigees plus vite.
Exact, je rajoute donc, en supposant qu'il y a assez de programmeur pour faire face au flux de bugs remontés. De toute façon mes raisonnement sont assez caricaturaux et la réalité est tout autre, un mix des deux et d'autres effets doivent s'incruster. Ils ne sont destinés qu'à montrer qu'utiliser l'argument : "plus de failles découvertes => logiciel moins fiable" n'est pas correct.
Quand a MS qui les devoile ou pas, c'est hyper-simple, dans 99% des cas les failles sont trouvées par des gens externes
C'est un peu le serpent qui se mord la queue tout ça. Je peux retourner ce chiffre contre ton argument. L'important est de savoir quelle fiabilité on apporte à ce chiffre, étant donné que je remets en doute le fait que Microsoft dévoile les failles qu'il découvre dans ses logiciels (et c'est bien normal pour sa réputation, s'ils les trouvent et les corrigent, ils n'ont pas besoin d'en parler si une mise à jour de sécurité corrige le problème pour ses clients). La seule chose dont on est sûr, c'est que Microsoft découvre et dévoile 1% des failles en supposant le chiffre juste.
Pour ton troisième paragraphe, les chercheurs en sécurité indépendants travaillent à priori autant sur Apache que sur le serveur MS (car même part de marché), leur travail est très largement facilité dans le cas d'Apache par l'accès au code source. Alors dire que tu ne vois pas la différence entre les deux modèles de développement, c'est remettre en cause tous le modèle de sécurité qui existe autour du logiciel open source, qui ne repose jamais sur le secret, mais sur la solidité intrinsèque du code supposée atteinte de façon satisfaisante grâce à la diffusion très large de celui-ci. Le modèle de sécurité de l'open source crée donc intrinsèquement plus de report de failles.
Maintenant on peut avancer des arguments en faveur des modèles de sécurité adoptés par chacun, mais le nombre de report de faille me semble totalement déplacé. Il faudrait au moins enlever le biais qui existe en séparant les failles découvertes dans le code source des failles découvertes via l'exécutable et ça ne serait pas suffisant, car on introduirait alors une faveur pour Apache, car je doute que beaucoup de chercheurs en sécurité travaillent sur le binaire d'Apache alors qu'ils ont le source ; bref, cet indicateur est un indicateur merdique pour comparer la sécurité d'un logiciel open source à un qui ne l'est pas.
[^]Re: hugh
Faut quand même replacer dans le contexte. 100000$, c'est rien pour MS. Alors ça ne veut pas dire qu'il faut tout jeter, l'ASF doit profiter de cet argent, mais quand même, il ne faut pas être naïf pour autant.
Quand patrick_g dit "Peut-être que cette décision de Microsoft est le signe d'un changement d'orientation graduel de la part de Redmond ? Peut-être qu'après la guerre des mots (Linux est un cancer) on se dirige vers un armistice et une période plus coopérative ?", j'espère que c'est pour rire et qu'il n'y a pas cru une seule seconde. Il faut comparer ces 100000$ aux 300M$ qu'il a "investit" dans la campagne de pub pour dire que Vista saibien. Il y a un rapport de 1 à 3000, et je pense que c'est à peu près le rapport dans le coeur de microsoft entre le libre et le proprio.