Nyeste i IT og Internet emnet

I stan­dar­der for IT-sik­ker­hed de­fi­ne­res sik­ker­hed ud fra en lille hånd­fuld nøg­le­ord. Nogle af ordene er for­holds­vis ind­ly­sen­de: For ek­sem­pel er det oplagt, at "au­ten­ci­tet" skal være på plads, idet det hen­vi­ser til, at en person er den, ved­kom­men­de ud­gi­ver sig for. Også "in­te­gri­tet" er for­stå­e­lig, idet det hen­vi­ser til, at data ikke skal kor­rum­pe­res un­der­vejs.

Andre ord bliver først ind­ly­sen­de ved en smule ef­tertan­ke. Det gælder sidste af de tre nøg­le­ord, som i Dansk Stan­dard norm 484:2005 (i daglig tale kaldet DS484) de­fi­ne­rer IT-sik­ker­hed er "til­gæn­ge­lig­hed". Det dækker over, at data skal være til­gæn­ge­li­ge, når man har behov for dem. I en si­tu­a­tion, hvor man måske skal un­der­skri­ve et skøde eller fo­re­ta­ge en vigtig bank­transak­tion (f.eks. hus­le­je, så man ikke bliver sat på gaden), er det være meget al­vor­ligt, hvis ikke det er muligt at logge på sy­ste­met.

Når mang­len­de til­gæn­ge­lig­hed dermed skal op­fat­tes som et sik­ker­heds­br­ud, kan jeg d.d. do­ku­men­te­re endnu et sik­ker­heds­br­ud hos NemID. Det første (som jeg også selv blev på­vir­ket af) er vel­do­ku­men­te­ret i pres­sen, idet et stort antal dan­ske­re måtte gå for­gæ­ves i for­sø­get på over­ho­ve­det at be­stil­le NemID.

Det andet sik­ker­heds­br­ud er do­ku­men­te­ret via de to skærm­dumps i dette blo­gind­læg. Jeg havde mod­ta­get min mid­ler­ti­di­ge ad­gangs­ko­de, der skulle gøre det muligt at komme (del­vist) gennem lo­gin­pro­ces­sen. Så langt nåede jeg imid­ler­tid ikke. Da jeg ind­ta­ste­de mit CPR-nummer og den mid­ler­ti­di­ge ad­gangs­ko­de, meldte NemID til­ba­ge, at den ikke ac­cep­te­re­de mit CPR-nummer, men de­r­i­mod skulle bruge et NemID-nummer, som jeg ikke har mod­ta­get.

DanIDs sup­port kunne ikke hjælpe, men fo­re­slog mig at vente, til jeg modtog vel­komst­bre­vet og nøg­le­kor­tet, hvor dette NemID-nummer åben­bart ville fremgå. Så­le­des er der en fo­re­lø­bigt for­mo­det løs­ning på pro­ble­met, men det står al­le­re­de klart, at der er pro­ble­mer i au­ten­ti­fi­ka­tions­me­ka­nis­men, idet NemID ikke ac­cep­te­rer mit CPR-nummer, hvil­ket hjæl­pe­tek­sten under bruger-ID-feltet ellers fo­re­slår som bruger-ID.

Jeg havde heldigvis ikke et behov for at kunne tilgå mine data i denne omgang, og sikkerhedsbristen gav således ikke anledning til meget andet end hovedrysten fra min side og en opfordring til DanIDs support om, at notere, at systemet vist ikke var blevet testet ordentligt, når den slags fejl kunne opstå.

Mange sikkerhedseksperter - og herunder jeg selv - har allerede påpeget, at selve udgangspunktet for NemID er fundamentalt usikkert. Når det så også viser sig, at systemet udviser den slags fejl som her oplevet, så tegner det ikke godt for borgernes sikkerhed.

Det står ikke helt klart, om TV2 konstruerede problemet, da de overvågede hjemmehjælpere. Skulle det være tilfældet, er det kritisabelt, men det bør alligevel give anledning til eftertanke: I en virksomhed med 100.000 ansatte er det umuligt at undgå, at nogle ansatte vil opføre sig forkert.

Jeg foreslår derfor, at man udstyrer alle hjemmehjælperne med en GPS-logger. Det er et apparat, der fastlægger en persons position indenfor få meter med få sekunders mellemrum sammen med det præcise tidspunkt, og den fylder ikke mere, end at den kan sidde i en nøglering.

Denne logger vil gøre det muligt at se, at den enkelte hjemmehjælper har været de steder, hvor det var forventet, og i hvilket tidsrum. Ligesom man dermed kan kontrollere, at hjemmehjælperen i det mindste bruger tiden de rigtige steder, vil det også være hjemmehjælperens dokumentation for, at han eller hun virkelig har brugt den afsatte tid, såfremt en klient klager.

Naturligvis vil ikke alle aktiviteter foregå ved klienterne, og en fortsat klassisk tidsregistrering tjener her to formål: Den vil sige noget om tidsforbruget på forskellige typer aktiviteter og således bruges til budgettering og planlægning. Endvidere kan den bruges både statistisk og specifikt for personer. Bruger en bestemt person uforholdsvis megen "spildtid", kan der være gode grunde til det, men det vil kunne detekteres. Sådan er det sikkert allerede i dag.

Rent teknisk ville en løsning med en GPS-logger være en forholdsvis billig løsning. Der ville sikkert være behov for en sikring af de loggede data, så en tabt logger ikke faldt i hænderne på nogen, der havde uønsket interesse i at se, hvor der bor svage mennesker. Men det er der velkendte metoder til, og når man tænker på, hvad DanID er sluppet af sted med i forhold til sikkerheden af NemID-løsningen, er ambitionsniveauet ikke nødvendigvis højt.

Endvidere ville der være behov for en dataopsamling, der ved hjælp af en adressebog kan forholde GPS-positionen med en adresse. Dette er kendt teknologi, og den væsentligste tekniske udfordring vil sandsynligvis være at finde en nem måde at overføre data fra GPS-loggerne til systemet.

Jeg har d.d. afsendt følgende spørgsmål til NemID via deres supportformular:


Hej,

På jeres hjemmeside på
https://www.nemid.nu/om_nemid/hvad_er_nemid/den_nye_digitale_signatur/ står der under overskriften "Mere mobil":

"Med NemID behøver du ikke installere noget på den computer du bruger, og det betyder derfor også, at du kan tage NemID med dig på farten, og logge ind på enhver computer med internetforbindelse."

Imidlertid oplever jeg, at der dukker et vindue op, der beder mig installere en Java-applikation fra DanID, når jeg vælger login via NemID. Hvordan bruger jeg NemID uden at installere denne applikation?

Med venlig hilsen og på forhånd tak,

--Ole Wolf

En bekendt fra bankverdenen har fortalt mig om, hvordan gebyrer er tænkt ind bankens softwaredesign. For de ikke indviede udgør et softwaredesign det "nederste" niveau af beskrivelsen af softwaren; når man har dette design, er man i stand til at fremstille selve den kode, der udgør softwaren. Designet er en form for præcisering af softwarens såkaldte arkitektur, der er en skitse for, hvordan softwaren indfrier de krav, der er stillet til produktet.

Kravene til produktet dækker mange aspekter lige fra hvad produktet skal levere (f.eks. mulighed for at få en kontoopgørelse som PDF eller mulighed for en postkasse til kommunikation med sin bankrådgiver) til identifikation af, hvordan produktet bliver brugervenligt eller sikkert.

Et af kravene til bankens software er, at softwaren skal kunne registrere gebyr for alt. I følge min bekendte blev der i den pågældende store bank ikke fremstillet et system, uden at der på hver eneste tænkelig transaktion blev tilføjet et felt i transaktionsdatabasen, hvor man kunne slå gebyr til eller fra, samt fastsætte gebyrets størrelse. Der kan således med et tastetryk lægges gebyr på en hvilken som helst bankoperation, lige fra veksling af penge og handel med værdipapirer til saldoopgørelse og login.

Med det i baghovedet er der god grund til at være nervøs for, at PBS - der er ejet af bankerne - på et tidspunkt tager gebyr for NemID-papirkortet. Hvis ikke direkte, så indirekte ved at afkræve transaktionsgebyrer af virksomhederne, der benytter NemID, hvorpå disse virksomheder er "nødsaget" til at indføre gebyr eller kanaliserer udgiften over på varernes priser. Hvis PBS har designet NemID på samme måde, som banker designer software, vil bankerne med gårsdagens introduktion af NemID fremover være i stand til at opkræve gebyr for ethvert login på en statslig eller kommunal side, der benytter NemID.

Hvad er bedst: Den driftige person, der virkelig kan producere, eller processer, der gør alle lidt bedre på bekostning af de driftigste personer?

I softwarebranchen gælder der en tommelfingerregel om, at forskellen mellem den bedste og dårligste teknologiudvikler er omkring 10 gange i produktivitet. Det er næppe overraskende, at der i denne "nørdbranche" er en stærk tendens til heltedyrkelse, hvor der satses på de meget produktive personer. De definerer linien i et projekt, mens resten af projektdeltagerne halser efter, og projektlederen glædes over heltene, der sikrer en synlig fremdrift, og som kan trække successen hjem trods alle odds. Heltene er værdsatte blandt cheferne.

Dette burde imidlertid give anledning til at tro, at de helte-dyrkende chefer ikke har begreb om simpel købmandsregning.

Har man et gennemsnitligt team, hvor størstedelen trods alt kan forventes at være bedre end det værste eksempel, er helten ikke ti gange så effektiv som de andre. Antag med et tal-eksempel, at i et projekt med ti deltagere har de ni deltagere hver en effektivitet på 4 (som i 4 linier kode pr. time), og helten har en effektivitet på 8 (som i 8 linier kode pr. time). Det giver en samlet effektivitet på (4 × 9) + (1 × 8) = 44 (altså 44 linier kode pr. time for det samlede team).

Antag nu, at man i stedet for at lade udviklerne gøre, som de selv fandt bedst, gennemførte en række arbejdsprocesser, som udviklerne skulle følge. Disse arbejdsprocesser skulle sikre, at udviklerne arbejdede efter en række velafprøvede teknikker, som mange eksperter har målt til at være særligt effektive.

Erfaringsmæssigt er det ikke mindst processerne for den tværgående koordinering og samarbejdet, der sikrer effektiviteten. Der skal ikke løbes efter regnbuer, men derimod føres kynisk kontrol med de krav og ønsker, der opstår til produktet i forhold til økonomi, tidsplan, kundens reelle behov, m.m. Der skal ikke løbes risici, uden at der er lagt så mange "plan B", som der måtte være behov for. Og der skal ikke bare udvikles som død og Helvede, men etableres og vedligeholdes planer, der skal følges og løbende kontrolleres, og der skal følges disciplinerede og metodiske principper for kvalitetssikring.

Sådanne processer vil givetvis forhindre helten i fuldstændig at gøre, som han/hun helst vil, og dette er også et af de helt store argumenter for ikke at gennemføre processer i en helte-dyrkende virksomhed. Lad os forsøgsvis sætte tal på dette også: Antag, at de ni udviklere bliver lidt mere effektive, og når fra 4 til 5. Antag også, at helten bliver stækket væsentligt, og nu også når ned på 5. Vi har nu en ligning, der siger 10 × 5 =50. Altså en samlet forbedring, selv om helten helt er elimineret fra billedet.

Hvis et produktionsfirma skal blive effektivt, burde det stå klart, at det ikke er de særligt produktive "helte", der skal satses på. Det handler om at identificere de arbejdsprocesser, der sikrer effektiviteten både for de fleste af de enkelte ansatte og for deres indbyrdes samarbejde. En lille forbedring hos mange har langt større effekt end en lille forbedring hos nogle få.

En "helt", der påtager sig rollen som en entreprenør, kan være en udmærket innovator, der kan få en god idé. Men så snart man skal tage de næste skridt - at sætte produktet i produktion, samt på længere sigt sikre produktet og dets udvikling - er det ikke en hurtigløbende, entrepreøragtig adfærd, der er behov for, men derimod solide trækheste. Det er her, indsatsen skal lægges, hvis man vil fastholde successen. Det er dem, der skal have bedre vilkår og arbejdsmetoder.

Med det i baghovedet vil jeg lade det være en øvelse til læseren at overveje, hvad der mon er den bedste politiske strategi, hvis man ønsker at skabe et stærkt samfund: Skal man fremelske store erhversledere, der som sande helte formodes at ville føre hele landet frem, eller skal man skabe mere ensartede vilkår, hvor man har sikret effektiviteten på tværs af samfundet?

Hvis jeg skal have en netbook, vil jeg have Linux på den. Det siger jeg ikke bare fordi Linux generelt er bedre end Windows, men også fordi en netbook i særlig grad lægger op til Linux. Her er nogle gode grunde.

Din net­book­ er frem­tids­sik­ret. Hvis du købte en net­book­ med Win­dows XP, vil den så virke med Win­dows Vista? Svaret har i mange til­fæl­de været nej. Og hvis du har Vista på den, vil den så virke med Win­dows 7? Det ved vi ikke endnu. Hver gang, der kommer en ny udgave af Win­dows på banen, er der sat nye krav til hardwa­re, og Mi­cro­soft støt­ter ikke de gamle ver­sio­ner af Win­dows evigt. Med Ee­e­bun­tu (en Linux-di­stri­bu­tion frem­stil­let til Eee PC) ved du, at din Eee PC vil virke med nye ver­sio­ner af ope­ra­tiv­sy­ste­met, for det er det, Ee­e­bun­tu er lavet til. I stedet for at spille lotto med din hardwa­re i håbet om, at Mi­cro­soft ikke for­æl­der det med et tryl­leslag med næste udgave af Win­dows, kan du hvile trygt i for­vis­nin­gen om, at Linux bliver ved med at virke, selv om der kommer nye ver­sio­ner.

Spil-argumentet falder væk. Når almindelige brugere foretager et fornuftspræget valg, der leder til, at de alligevel foretrækker Windows frem for Linux, så er årsagen næsten altid, at man ikke kan spille spil på Linux. Mens dette er en sandhed med modifikationer, så er den væsentlige pointe for netbooks, at man heller ikke kan spille spil på en netbook, selv om den kører Windows. Dens hardware er ikke kraftig nok, og dens skærm er ikke dimensioneret ordentligt til spil, uanset om den kører Windows eller Linux. Mange andre programmer til f.eks. video- eller fotoredigering passer heller ikke godt til en netbook. Netbooks er gode til lige at være online og til at foretage små opgaver. Hovedargumentet for at bruge Windows frem for Linux - nemlig spil - falder helt bort, når det drejer sig om netbooks.

Bedre plads. Netbooks er stadig overvejende kendetegnet ved temmelig små harddiske med plads til kun nogle få gigabytes. En stor og komplet Ubuntu-installation kan sagtens fylde lige så meget som Windows XP, men i modsætning til Windows XP (eller Vista, gud bedre det) kan det trimmes meget kraftigt ved at fjerne de applikationer, man ikke bruger.

Bedre brugerflade. En netbook har en meget lille skærm, og hver en pixel tæller. Med den traditionelle Windows spildes der væsentlig plads, men i Linux-distributionen Eeebuntu Netbook Remix får du en desktop, der er specielt tilpasset til den lille netbook-skærm.

Ingen virustrussel. En netbook er også i særlig grad truet af virus, hvis man kører Windows på den. For hvis man synes, at Windows er plaget af virus på en stationær PC på ens eget netværk, så er det intet at regne mod Windows på en PC, der er ligefrem er beregnet til at være meget portabel og koble sig på alle mulige netværk. Med sin begrænsede diskplads tigger din netbook ikke ligefrem efter yderligere programmer i form af viruschecker og firewall, og det gør bare ondt værre. Med Linux på din netbook er problemet løst, for Linux er usårlig overfor virus.

Billigere. Ud over at du slipper for at skulle investere i antivirus-programmer, gør Linux også din netbook billigere, end hvis du køber den med Windows - i hvert fald hvis sælgeren af din netbook følger EU-lovgivningen, hvilket Poul-Henning Kamp i skrivende stund kæmper for. Går du Windows-vejen på din netbook, kommer du i øvrigt også til at betale for stort set al yderligere software, du måtte vælger at installere, herunder antivirus og firewall.

Hurtigere. Det er et velkendt forhold, at Linux sætter væsentligt færre krav til en computers hardware end Windows, og at Linux derfor alt andet lige kører markant hurtigere. Det er særlig væsentligt for en netbook, der netop har begrænset hardware. Det er ikke på en netbook, at du finder den meget hurtige processor og det kraftige grafikkort, der er nødvendige for at Windows kører hurtigt. Det er til gengæld mere en rigeligt til at få Linux til at køre hurtigt. Det er selvfølgelig ikke bare selve operativsystemet (Windows eller Linux), der kører hurtigt, men selvfølgelig også de applikationer, du vælger at installere. Email og web-browser starter også hurtigere på en netbook, der kører Linux.

Forbedringer kommer løbende. Linux består af software, der tilbydes fra mange sider, og softwaren udvikles hurtigere samt med flere øjne på koden. Dette forhold betyder, at softwarefejl - både sikkerhedsmæssige og brugermæssige - opdages og rettes hurtigere, end vi kender det fra Windows. Fejlrettelser og forbedringer kommer løbende, og du slipper helt for at skulle holde øje med hver enkelt applikation.

Hjælpen er nær. Det er forholdsvis nemt at finde hjælp til Windows-problemer på en almindelig PC eller en laptop, men for netbooks er det straks sværere. I Linux-miljøerne er der til gengæld stor interesse i at sikre, at Linux og de enkelte softwarepakker virker ordentligt, og der lyttes til brugerne. Derfor kan du ofte finde løsninger på dit problem via Google, eller du kan gå til softwareudviklernes websider. Hvis du skulle gøre det samme til Windows, ville du hurtigt have behov for at kontakte sælgeren af din netbook eller købe tid hos Microsoft.

Face it: The Pirate Bay will die once the Global Gaming Factory officially takes over.

The Pirate Bay lost its verdict because it is a site where users can register and upload torrents for, among others, pirated software and entertainment media. And let's not be hypocritical about this: why call it "The Pirate Bay" if it wasn't intended for pirates? The Pirate Bay didn't receive its verdict for hosting pirated files, but for providing a service that, unlike Google, was specifically designed to support file sharing, including pirated files.

There don't seem to be any particularly interesting alternatives available, because who wants to repeat the failure of the Pirate Bay founders, who were defeated by an amply aggressive music industry?

Well, maybe nobody has to.

It was The Pirate Bay itself, and secondarily its content of torrents, that was illegal. But what if one were to remove the entire Pirate Bay while still providing its service? It may not be as far-fetched, as it may sound.

If the music, the movies, and the software is already stored on each user's personal computer, why not store the torrents, or maybe a subset of them, on the users' computers, too? Is a single application (the torrent search engine) running on a single server (the pirate bay) really required? Why not distribute it all, including the torrent search engine?

Today's personal computers have network bandwidth, processing power, and disk storage enough to enable a distributed network, where each personal computer participates in indexing, searching, and sharing of torrents; the entire Pirate Bay consumed about 40 Gbytes of disk storage (including the torrents), so slowly building an index and a large number of torrents on a single computer is no impossible task at all. Once the distributed torrent searching and sharing challenge has been solved, torrents can be used as we always did—but without a single owner that can be sued and closed like The Pirate Bay. That is: as long as the author of the torrent search engine doesn't provide the software as closed source, like DVD Decrypter.

Someone else may come up with a better solution, and my suggestion may not even be heard. But otherwise, consider this my monkey wrench in the copyright machine.

Som forælder må man sande, at børn opfører sig, som man selv opfører sig. Da Amina derfor kommenterede vores drengs banden og svovlen over noget legetøj, var hans svar da også:

— Jamen det her %&#&£ sidder £¥@"% fast!

Min indvending om, at dette ikke var nogen god begrundelse for denne sprogekvilibrisme, og at bandeord sjældent udtrykker den store grad af sofistikering, blev ikke godtaget af den femårige dreng:

— Jamen du bander også, når du ordner computeren.

Dermed var bolden dygtigt spillet over på min banehalvdel, hvor mit (syntes jeg selv) langt mere modne forsvar for min retoriske adfærd blev et spagt:

— Jo, men det er fordi den kører Windows.

Dermed kan det formentlig konkluderes, at min søn gør, som jeg gør, og ikke som jeg siger, samt at jeg skal se på mig selv, før jeg brokker mig for meget over hans opførsel.

Jeg ville nok fralægge mig lidt for meget ansvar, hvis jeg skød skylden for mit - og deraf min søns - sprog på Microsoft.

I går aftes holdt jeg en kort introduktion til geocaching i forbindelse med et firma-event. Foruden min talestrøm bestod introduktionen af 10 slides, som jeg havde fremstillet med OpenOffice på Linux (se nedenfor, hvor du kan klikke for at gå til næste side):


Præsentationen er eksporteret til Flash, hvilket mig bekendt kan ikke umiddelbart lade sig gøre med Microsofts PowerPoint på Windows. Det er dog det mindste problem med Microsofts produkter. Langt værre er det, at man slet og ret aldrig helt kan stole på, at Windows vil opføre sig ordentligt, og det skulle hurtigt vise sig at være et problem, fordi jeg af hensyn til sikkerhedspolitik var nødsaget til at vise præsentationen via min arbejdscomputer.

Således måtte jeg opleve, at da jeg havde tændt computeren og skulle til at fortælle, valgte Windows netop dét tidspunkt til at nægte at vise noget som helst andet end desktop-baggrunden, da jeg havde logget ind. Heller ikke to forsøg på genstart af computeren gav noget held. Jeg måtte iværksætte plan B, hvor en af arrangørerne hentede sin egen PC og en email med en lidt tidligere verson af præsentationen, som jeg havde sendt til ham, så jeg kunne vise præsentationen fra hans PC. Først efter næsten 20 minutter, da præsentationen var overstået, vågnede Windows ordentligt op på min egen PC.

Den slags oplevelser har jeg desværre bare haft alt for mange af på Windows. Selv om min arbejdscomputer normalt starter forholdsvis hurtigt, så sker der en gang i mellem sådan noget, som jeg beskriver her. Andre gange hænger exploreren, og kræver en genstart. Eller måske er det komplet umuligt at få Windows til at erkende, at jeg gerne vil vise en præsentation på en projektor. Windows er simpelt hen ikke pålidelig nok til min smag, og jeg bliver jævnligt mindet på det.

Jeg ville være en løgnhals, hvis jeg påstod, at Linux var fri for problemer. Men når man først har sat Linux op på en bestemt måde, så kan man roligt stole på, at man finder Linux i denne tilstand hver gang, man tænder for computeren. Hvis et program opfører sig mærkeligt, eller der pludselig er opstået problemer, så er det stort set altid fordi man har ændret i opsætningen - og for mig er det som regel kun i sket forbindelse med opgradering fra en version af styresystemet til den næste, eller når jeg har brugt eksperimentel software.

Hvad er mest sikkert: Open source eller closed source? Her er mit bud på, hvorfor open source er langt den sikreste form for software.

For nemheds skyld vil jeg indføre tre definitioner:

1. Den venligtsindede person er typisk "ejeren" af softwaren, som står for den primære udvikling. Det kan også være den person eller institution, der sætter software i drift, f.eks. en bank.

2. Den ondsindede person forsøger bevidst at finde sikkerhedsbrister, som personen udnytter til personlig vinding. Den ondsindede person er f.eks. en hacker.

3. Den neutrale person har ikke specifikke interesser i at udnytte sikkerhedsbrister, men har omvendt heller ikke ejerskab af softwaren. Det neutrale person kan f.eks. være en bankkunde, men kan også være frivillig bidragyder til softwaren, idet personen måske på isolerede punkter har en interesse i, at softwaren får en bestemt funktionalitet.

For eksempel: Hvis du opdager en sikkerhedsbrist i et sygehussystem eller en brist i et banksystem, så kan du enten vælge at udnytte sikkerhedshullet til skade for patienter eller bankkunder, eller du kan advare sygehuset eller banken, før du selv bliver patient eller kunde. Nogle mennesker (de ondsindede personer) vil forsøge at udnytte sikkerhedsbristen. Andre (de neutrale) vil indberette den, og måske komme med forslag til rettelse, til den myndighed (den venligtsindede person), der benytter softwaren til sin service.

Interesse-misforhold

Vi kan generelt antage, at den ondsindede person målrettet leder efter softwarefejl, uanset om softwaren er udviklet som open source eller closed source. På grund af adgangen til kildekoden i open source kan vi også antage, at en ondsindet person principielt vil kunne identificere flere sikkerhedsbrister i open source end i closed source. Dette er et af de oftest benyttede argumenter mod open source. (Der er dog en hage ved antagelsen, som jeg kommer ind på senere.)

Imidlertid eksisterer der et interesse-misforhold mellem open source og closed source, som gør argumentet svagt. Det kræver lidt forklaring:

Erfarne softwareudviklere vil kunne tale med om, at man finder flere sikkerhedsbrister ved et tilfælde, mens man vedligeholder eller udbygger kildekode, end når man efterfølgende er bruger af softwaren. Det svarer til, at mekanikeren finder fejl i en bil ved et serviceeftersyn, mens hverken bilens ejer eller mekanikeren ville opdage fejlene på en køretur.

Hvis kildekoden er tilgængelig, og hvis det er tilladt at videreudvikle kildekoden, vil der optræde neutrale personer, som arbejder med den. Disse personer vil finde sikkerhedsbrister af ovennævnte årsag, og kan forventes at indberette eller rette op på sikkerhedsbristerne.

Neutrale personer har dog ingen interesse i at beskæftige sig med kildekoden i closed source, fordi den jo ikke er tilgængelig. De finder derfor kun sikkerhedsbrister i closed source software, når de tilfældigt falder over dem i rollen som almindelige slutbrugere.