http://www.heise.de/security/n.....3951/read/

Aus meiner Sicht erfolgt die Entwicklung von TC zu wenig transparent, so dass ich es (weiterhin) nicht verwende.

Wieso eigentlich schaffen es einige Software-Anbieter, rechtzeitig genügend Kapazität für ihre Website zu besorgen, während bei anderen – nicht nur bei TrueCrypt! – neue Versionen regelmässig zu einem DDoS führen?

- Das Team hat ursprünglich auch keine Termine bekannt gegeben, wurde aber immer wieder dazu gedrängt. Auch ich wollte gerne einen ungefähren Stand wissen. Ich sehe das aber eher als Hausnummer, ob man heute, morgen, nächsten Monat oder in 30 Jahren mit dem Release rechnen darf. Und da sieht es im Moment vielversprechend aus.

- Ich weiß, wie die Entwicklungs- und Testzyklen von Software aussehen. Und in der Hinsicht warte ich vor allem bei sicherheitsrelevanten Anwendungen gerne vier Wochen länger, wenn die Zeit zum Bugfixen verwendet wird. Ist mir persönlich wichtiger als den Termin genau einzuhalten, wenn dafür Datenverlust unwahrscheinlicher wird.

- Dass die Quellen erst bei Release freigegeben werden, kann ich auch sehr gut verstehen. Solange die Funktionalität zwar fertig ist, aber noch am Code gefeilt wird (feature freeze) und ggf. noch Refactoring-Maßnahmen am laufen sind oder Kommentare überarbeitet werden, um die Lesbarkeit und Wartbarkeit zu gewährleisten, ist man über jeden froh, der NICHT an dem Projekt mitarbeitet. Tausende Entwickler mit unterschiedlichem Kenntnisstand, die da an dem unbekannten Code pfuschen, sind in dem Fall nur kontraproduktiv, bis wieder eine stabile Codebasis erreicht ist.

Und schlussendlich gehe ich davon aus, wenn der Termin am 4. auf den 5. verschoben wird, dass das Release dann in greifbarer Nähe ist. Sonst hätte man den Termin längerfristig aufgeschoben.

Also Geduld, Leute, schließlich riecht mir die 5.0 nach einer mehr oder weniger kompletten Reimplementation (vor allem fürn Mac und für *X)…

Servus!

Ich sehe weiterhin das Problem nicht.

… kein Problem, aber untypisch für ein Open Source-Projekt, gerade auch eines, das sich Sicherheit auf die Fahnen schreibt. Das wesentliche Problem besteht darin, dass die Entwickler Termine ankündigen, die sie nicht einhalten können, aus was für Gründen auch immer. In solchen Fällen verzichtet man am besten auf Ankündigungen – nicht nur im Bezug auf den Termin, sondern auch bezüglich geplanter Funktionen. Wieso sollte man sich selbst gegenüber der Öffentlichkeit unnötig unter Druck setzen?

Open Source-Entwicklung ohne CVS oder SVN? Schwierig, nicht?

Warum? Perforce? Bitkeeper?
CVS und SVN sind nicht die einzigen Tools dafür. Und der Quellcode ist doch verfügbar - wo liegt das Problem?

Dass der Entwicklerzweig nicht verfügbar ist? Das ist die freie Entscheidung der Entwickler. Wenn die nur Releases freigeben, dann sollen sie’s tun. Und das mit Source, so wie’s die GPL vorschreibt.

Ich sehe weiterhin das Problem nicht.

Wenn der Entwickler kein SVN oder CVS nutzt, warum sollte er es dann zur Verfügung stellen?

Open Source-Entwicklung ohne CVS oder SVN? Schwierig, nicht?

Hauptsache, er steht zur Verfügung - und das ist der Fall.

Um ab und zu ein Datum anzupassen, benötigt man keinen Entwickler …

Hauptsache, er steht zur Verfügung - und das ist der Fall.