Microsoft wird weiteren Quellcode freigeben

ZDNet: Welche anderen Shared Source-Programme existieren momentan?

Matusow: Es gibt die C# CLI (Common Language Infrastruktur) -Lizenz, die der CE-Lizenz in dem Sinne ähnlich ist, als dass sie eine Lizenz ist, die nichtkommerzielle Abwandlungen erlaubt. Allerdings konzentriert sich die Aktivität in diesem Fall auf die akademische Gemeinschaft. Wir hatten bereits etwa 35.000 Downloads durch Lizenznehmer – darin sind die 18.000 Privatpersonen nicht enthalten, die in Japan an einem Coding-Wettbewerb teilnehmen.

ZDNet: Was kommt als nächstes?

Matusow: In den kommenden Monaten werden wir die Shared Source-Programme auf weitere Teile von Microsoft ausdehnen. Im Moment befinden sich alle unsere Plattformen im Shared Source-Programm. Jetzt werden wir versuchen, das Programm auf SQL, Exchange und möglicherweise sogar auf Office auszudehnen.

Bezüglich Office wurde noch keine Entscheidung getroffen. Es kann sein, dass wir uns dagegen entscheiden. Es wird viel Arbeit kosten, die Schwierigkeiten mit den Bestimmungen zum geistigen Eigentum zu bereinigen.

Wir würden das Shared Source-Programm gern auf Tools und überhaupt auf alles – von Spielen bis hin zu Anwendungen – ausweiten. Aber dazu müssen wir erst über eine Menge Dinge nachdenken – unter anderem über die Frage, wer überhaupt Zugang zum Quellcode benötigt und wie dringend dieser Zugang ist. Selbst für die meisten Entwickler ist er nur von minimalem Nutzen, und die meisten Anwender benötigen ihn gar nicht – vor allem nicht, wenn es um das Betriebssystem geht. Deshalb verfügt auch Linux nur über eine geringe Anzahl von Kernel-Entwicklern – es ist einfach eine sehr komplexe Thematik.

Es ist eine Frage des Abwägens von Risiko und Nutzen. Der größte Teil der modernen Industrie wurde auf der Idee des Geschäftsgeheimnisses begründet. Je mehr man freigibt, desto mehr Einblick gewährt man in diese Geschäftsgeheimnisse. Dadurch können sie empfindlich geschwächt werden.

ZDNet: Wie verträgt sich das Konzept von Shared Source mit dem Mantra „Sicherheit durch Verschleierung“, mit dem Microsoft so deutlich assoziiert wird?

Matusow: Microsoft gehört nicht zu denen, die an „Sicherheit durch Verschleierung“ glauben. Andererseits ist auch die „Theorie der vielen Augen“ nicht erwiesen und vielleicht sogar irreführend, denn diese vielen Augen schauen sich meistens die falschen Dinge an. Die Leute schauen sich gerne den Code an, der „sexy“ und interessant ist, während der ältere, härtere, langweiliger scheinende Code oft übersehen wird. Die ganze Sache ist sehr viel komplizierter, als das Klischee es haben will: Wenn viele Leute Einsicht in den Quellcode haben, dann werden sie die Bugs schon finden? Nicht unbedingt.

Nehmen wir das Beispiel von Kerberos, bei dem ein großer Fehler erst nach zehn Jahren entdeckt wurde. Dies ist ein Open Source-Sicherheitsprodukt, das von vielen Augen untersucht wurde. Ein weiteres Beispiel ist OpenSSH; erst kürzlich wurde herausgefunden, dass dieses Open Source-Produkt ein Trojanisches Pferd enthält. Das Problem mit Open Source besteht darin, dass man nicht weiß, wer den Code eigentlich kontrolliert. Microsoft dagegen signiert seinen gesamten Binärcode. Man weiß, wer dafür verantwortlich ist. Unser Interesse an Shared Source ist mit der Integrität der Plattform verknüpft.

Der Palladium-Kryptografiecode wird Shared Source sein, damit die Leute den Code eingehend überprüfen können – genau so, wie sie den RSA-Kryptografiecode überprüfen konnten. Ich weiß nicht, wie wir noch deutlicher machen könnten, dass wir nicht an „Sicherheit durch Verschleierung“ glauben.