<FONT face="Default Sans Serif,Verdana,Arial,Helvetica,sans-serif" size=2>-----kwlug-disc-bounces@kwlug.org wrote: -----<br><div><font color="#990099"><br></font>>From: Lori Paniak <ldpaniak@fourpisolutions.com><br>><br>>Actually it is worse than that.  The pathway of open source software<br>>from programmer to end-user involves an intermediate state which not<br>>present in proprietary software:  the package/distribution<br>>maintainer.<br>>The people who code open source software belong to a project.  People<br>>install distributions on their computers.  There has to be someone in<br>>the middle to package projects into distributions.  I do not see how<br>>this extra step can improve the security of a piece of software.  I<br>>gave<br>>a concrete example of how this extra step can degrade system<br>>security.<br>><br>>Certainly, a large entity that produces proprietary software has<br>>different divisions for creating and packaging code, but at least<br>>they<br>>are under the same roof (so to speak).  <br>><br><br>And there are OEMs  like Dell and HP and IBM that modify Windows and the applications that are installed. It's not a compile-time change, but a configuration and patch change that could be comparable to a Linux distro work.<br><br>Look at the combinations of a Windows install. On any given Windows release there may be several combinations of different driver releases, programs, services and DLLs. IE upgrades replace so much of the Windows core that programmers treat it as a new version of the O/S. There is so much variability with a Windows system and Microsoft has little control over. With a distro the vendor is clearly concerned about the specific combination. My Fedora systems are "pristine" fedora with a very limited number of extras installed, codecs, plugins, etc. The core is still the same.<br><br>Is then a Linux distro typically a better controlled end-user environment?<br><br>>...<br>>I'm lazy.  I like to win arguments with cold hard numbers.  They tend<br>>to<br>>lead to shorter discussions with less hand waving.  I agree<br>>"motivations" carry a lot of weight but they are usually among the<br>>first<br>>casualties in a debate with an unsympathetic opponent.<br>><br>>...<br><br>I agree, Microsoft "kool-aid junkies" need the facts. I was talking about open-minded people. Remember what Homer says: "<font face="Arial, Helvetica, sans-serif" size="2" color="#000000">Facts are meaningless - you could use facts to prove anything that's even remotely true!"</font> ;)<br><br>>Then it degenerates into an argument about the "quality" of eyeballs.<br>>Is an open source bug report worth more than a closed source bug<br>>report?<br><br>When I hear the eyeballs argument it's about who actually looks at the code. The viewer needs only to be proficient in some area of the code. <br><br>>I suspect that the vast majority of bugs in a piece of code are found<br>>by<br>>end-users in the course of normal usage, not by people reading source<br>>code (has anyone ever *discovered* a bug by reading the source?).  If<br>>true, then there is no open source advantage for finding bugs.  The<br>>advantage arrives when it is time to fix the bugs.<br><br>I would agree to some degree, although there definitely are errors found by reading code. But I also think that there are a lot of non-project programmers that use the product, find bugs and fix it. This includes all the distro maintainer as well as end-users. With closed source a small group os developers are the only ones that can and do fix bugs. Converting a bug report to a patch is the hard part the more people that do that step the better.<br><br><br></div></FONT>