Fremdsoftware

Im Wiki gibt es immer mal wieder Hinweise/Warnungen zu "Fremdsoftware" in der Form

Hinweis!

Fremdsoftware kann das System gefährden.

Der Hinweis soll nicht grundsätzlich abschrecken, sondern einfach nur einen Denkanstoß über die verwendete Software und deren Herkunft geben.

Der Begriff ist in keiner Weise diskriminierend gemeint; als "Fremdsoftware" wird in diesem Falle einfach Software verstanden, die nicht aus offiziellen Ubuntu-Repositories stammt. Es geht also im allgemeinen um im Quellcode vorliegende Software, die meist selbst kompiliert, oder als vorhandenes Skript o.ä. zum Einsatz kommen soll.

Ähnlich wie bei der Verwendung von Fremdpaketen und Fremdquellen ist die Herkunft solcher Software nicht von Canonical unterstützt, es gibt im Normalfall auch keine Sicherheitsupdates o.ä. dazu. Daher ist es um so wichtiger, dass man der Quelle der Software vertraut. Natürlich sind da die Kriterien für jeden einzelnen unterschiedlich. Wer auf einer virtuellen Maschine "bleeding-edge"-Software austesten möchte, hat vermutlich weniger Probleme, auch weitgehend ungetestete Software, ggf. sogar aus obskuren Winkeln des Internets, zu verwenden, als jemand, der einen Produktiv-Rechner für seinen Broterwerb verwendet und auf das uneingeschränkte Funktionieren des Betriebssystems angewiesen ist. Letztendlich kann die Verwendung solcher Software sogar Grundlage für Weiterentwicklung und Trouble-Shooting sein; man muss sich nur bewusst darüber sein, was man tut.

Grundsätzlich gelten bei der Verwendung derartiger Software die selben Richtlinien, wie in Fremdquellen beschrieben. Auch hier können sich Probleme mit Distributions-Upgrades oder Installation von Paketen aus den offiziellen Repos ergeben; insbesondere, wenn aus dem Quellcode Pakete z.B. via "checkinstall" für die Paketverwaltung "sichtbar" installiert werden. Aber bei auch "händisch" an der Paketverwaltung vorbei installierten Programmen ist theoretisch die Möglichkeit gegeben, dass z.B. gleiche bzw. gleichnamige Bibliotheken verwendet werden sollen, die ggf. im Widerspruch zueinander stehen. Theoretisch denkbar ist so etwas zum Beispiel auch bei über "easy_install" installierten Python-Software, oder Perl-Programmen, die via CPAN 🇬🇧 auf den Rechner gelangen.

Rein theoretisch bestünde natürlich auch eine (allerdings in der Open-Source-Community wohl eher kleine) Gefahr der Einschleusung von Schad-Software; wenn auch die Möglichkeiten der Kontrolle (zumindest für den einigermaßen aufmerksamen und kundigen Benutzer) durch Einsichtnahme in den Code ungleich offener sind als wenn gleich ein fertiges Paket sich unüberprüft und -gefragt im System installiert.

Natürlich unterstellen wir keine bösen Absichten der Software-Entwickler; auch in "offiziellen" Paketen gibt es immer wieder Programmfehler, die dann verbessert werden müssen. Aber bei Software aus offiziellen Quellen ruht der Support in der Regel auf ungleich mehr Schultern, und so werden Fehler (meist) relativ schnell erkannt, und dann in neuen Versionen korrigiert. Das passiert natürlich auch bei "kleinen", noch unbekannten Projekten, die ggf. später auch den Weg in die "großen" Distributionen finden. Insofern kann der Hinweis auch als Aufforderung aufgefasst werden, gerade dieses Programm auszuprobieren, und zur Entwicklung beizutragen.

Forums-Diskussion zum Thema