Who actually reads the code? - ein kleines Experiment

[CDW]

Ein beliebtes Flamingthema und auch Abseits davon eine interessante Frage:
wenn der Quellcode offen und frei zugänglich, wird er auch wirklich von jemandem (außerhalb des Entwicklerteams) gelesen?
Dies wollte auch der Maintainer des GNU Parallel Projekts wissen:
Who actually reads the code?

I am the maintainer of a piece of free software called GNU Parallel. Free software guarantees you access to the source code, but I have been wondering how many actually read the source code.

To test this I put in a comment telling people to email me when they read this. The comment was put in a section of the code that no one would look to fix or improve the software -- so, the source code equivalent to a dusty corner.

Um genau zu sein:
parallel.git - parallel

    if ($@) {
        return -1;
    } else {
        return total_size(@_);
    }
}

# Guvf vf n grfg gb frr vs bguref ner ernqvat zl pbqr. Cyrnfr rznvy
# pbbxvr@gnatr.qx jura lbh ernq guvf

sub my_dump {
    # Returns:
    #   ascii expression of object if Data::Dump(er) is installed
    #   error code otherwise
    my @dump_this = (@_);

# This is a test to see if others are reading my code. Please email
# <emailadresse> when you read this

Also: eine (eher unbekannte) Software mit einem Kommentar in der Zeile 1582.
Und siehe da, zweieinhalb Monate später:

Two-and-a-half months later I received an email from someone who not only managed to find the comment, but also managed to guess the code had to be rot13'ed.

(Anmerkung: und nein, diese Person taucht nicht in dem Commit-Logs des Projekts auf )

Dass man es nicht ganz so rosig sehen sollte, zeigt allerdings "Teil2":

I inserted a new cookie on August 18, 2013, that was a bit harder as you would have to use rot14. On July 19, 2015 Mark Maimone won that cookie.

Es hat also fast zwei Jahre gedauert, bis jemand diesen Part "entziffert" hat.
=====================
Nun ja, ob und wie repräsentativ das ist, steht natürlich auf 'nem andern Blatt
Vor allem, da die Kommentare nicht so wirklich zum Code zu gehören scheinen und eher nach internen "Witzeleien" ausschauen - so dass die Motivation sich damit zu beschäftigen, imho, von Anfang an eher gering ist.
Eine ähnliche Botschaft im einfachen (nicht grepbaren - aber dennoch auf Anhieb lesbaren) l337sp3ak oder gar unmittelbar im Code, wäre interessanter.

 

[bitmuncher]

Ich fände es interessanter sowas mal in komplexerer Software wie dem Linux-Kernel zu testen. Dort commiten zwar viele Entwickler aber nur ein recht kleines Team legt fest was wirklich in den Kernel einfließt. Und kaum jemand außer denen liest alle Commits. Die meisten lesen nur die Messages zu diesen.

 

[ByteSurfer]

Zitat aus einem Dialog hier im Hause...

Ich: "Weis Du eigentlich was der Code macht?"
Er: "Ne wieseo? Funktioniert doch!"

Ich finde so etwas immer sehr wage, Zumindestend bei kleinen "Snippet".

Ehrlich gesagt muss ich mir aber auch eingestehen, dass ich den Sourcecode aus grösser externen Libraries auch nicht durchlese. Lediglich bei der Fehlersuche, bzw. wenn Erweiterungen anstehen.

LG

 

[Orniflyer]

Prinzipiell kann jeder irgendeinen open-source code auf github veröffentlichen (selbst wenn's nur nen fork mit minimalen abwandlunge ist)

draufschauen werden da ziemlich wenige - außer es ist eben kritischer/wichtiger code für/von tatsächlich genutzten betriebsystemen oder software.

viel interessanter wäre somit tatsächlich, wie bitmuncher anmerkte, so etwas in derartigem code zu "verstecken". eine 'dusty corner' in libre office dürfte deutlich schneller entdeckt werden.
sobald es um sicherheitsrelevante dinge geht wie chromium oder gar dem linux kernel glaube ich dass das noch schneller gehen würde.

das sind natürlich empirische annahmen - sollte man einfach mal probieren

 

[Chromatin]

Ich sach nur OpenSSL


*scnr*

 

[CDW]

Ich sach nur OpenSSL
*scnr*

Thwarted Linux backdoor hints at smarter hacks

Software developers on Wednesday detected and thwarted a hacker's scheme to submerge a slick backdoor in the next version of the Linux kernel, but security experts say the abortive caper proves that extremely subtle source code tampering is more than just the stuff of paranoid speculation.
The backdoor was a two-line addition to a development copy of the Linux kernel's source code, carefully crafted to look like a harmless error-checking feature added to the wait4()

Auch wenn es schon etwas älter ist

 

[Chromatin]

@CDW

Eigentlich gehört das in den Linux Flame Thread ...

Andererseits..Linux Flame und Linux Realität sind ja sehr dicht beieinander...

 

[CDW]

Eigentlich gehört das in den Linux Flame Thread ...

Ich finde es vor allem interessant, dass bei solchen "allgemeineren" Diskussionen früher oder später trotzdem Linux in den Mittelpunkt rückt. Denn, wenn auch die Fanboyz es nicht gern hören - mit Linux endet "OpenSource" noch lange nicht .

Vor allem, wenn man bedenkt, dass (geschätzt, siehe Download Free Publication - Who Writes Linux: Linux Kernel Development: How Fast it is Going, Who is Doing It, What They are Doing, and Who is Sponsoring It | The Linux Foundation und ältere) ca. 12% der Kernelcodebeiträge von tatsächlich "freiwilligen" Entwicklern kommen und noch ca. 4% nicht wirklich zuordenbar sind. Der Rest wird von Intel (~10%), RedHat(~8 bis 10%), IBM, Google und Co übernommen.

 

[ikkebins]

Perl ist eh write-only, was soll man da noch lesen können.