根据汤姆·卡拉威今天的评论SQL Ninja.Fedora董事会似乎将重新考虑是否允许接管工具进入Fedora。最初的决定招致了不少批评,但这并不意味着董事会是错的。
我一直在观看关于董事会决定不包括在Fedora的Sqlninja的决定的各种Fedora列表的新闻和讨论。这是典型的,但令人失望。开放社区中最轻微的审核 - 无论是挑剔的沟通渠道的分配或制定民事行为的粮食策略 - 吸引迅速批评。可预见的是,许多人对决定作出反应,就好像它是一个巨大的限制,这使得爱好者的自由群众的自由群体与自由和开源软件的完整宝藏。
让我们退一步一秒钟并检查真正发生的事情。Fedora董事会是问道包含sqlninja.,“SQL Server注入和收购工具”。Sqlninja在两年的中断后刚刚发布了新的释放。(以前的发布是2008年10月。)
咨询红帽合法后,董事会讨论和决定关于政策一般,特别是对SQLNINJA特别。政策是:
,客观地说,这个包基本上没有有用的可预见的目的以外,极有可能是非法的或非法的在一个或多个主要辖区Fedora分发或使用,这样的Fedora分销商将面临法律风险加剧,如果Fedora包括包,那么Fedora Project Board就有权力仅仅因为这个原因而拒绝包含该包。
现在人们正在使用滑坡论荒谬的陈述“如果有人使用Fedora的服务器在它提供儿童色情内容?”其他人正在声称,Fedora是“禁止”的Sqlninja。一般来说,相当多的一些联邦用户和贡献者已经反对遗漏了他们在董事会说不之前从未听说过的包裹或希望使用。
关于排除Sqlninja的合唱哭泣在股权上没有任何东西,如果Fedora船Sqlninja,则没有任何风险。另一方面,Fedora作为Red Hat的Wing下的项目可以将母公司暴露给法律风险 - 更不用说冒险的风险。想象一下,关于Red Hat的头条新闻在Fedora 15上运送SQL Server收购工具,特别是如果它实际上是用过的发动任何规模的攻击。如果你想走下坡,红帽和Fedora董事会有很好的理由拒绝SQLNinja。
正如其网站所描述的,SQLNinja是一个单一用途的接管工具。它的目的仅仅是接管运行SQL Server的站点,而不是对任何SQL Server使用SQL注入进行渗透测试。虽然这可以用于合法目的,它似乎更具目标,在攻击者没有这样做的攻击网站上。要公平地,挖掘该网站,有声明告诉用户他们需要获得许可或者他们可以运行法律执法的原因。我相信,人们将由他们攻击的服务器的管辖范围内的人们提供令人犯规,而且它不太可能在美国法院制度中举行很多摇摆。
还有以下事实是,合法的渗透测试者应该能够自己编译Sqlninja。有些人声称董事会是“禁止”Sqlninja - 但情况并非如此。董事会只是说它不会包装并托管在Fedora Repos中。
它不像Fedora独自站在这里。猜猜有多少主要的Linux发行版来运送SQLNINJA?如果你猜到了“没有”,你就是正确的。它的实用和使用范围非常有限,其开发界非常小,发展速度冰川。开发人员甚至说“有很多有趣的东西可以玩”,而不是在SQLNinja上工作——这使得这个包很可能在回购中停滞不前。
鉴于压力,Fedora Board可以重新考虑并允许Sqlninja。我认为他们在短时间内起草的政策可以使用一些波兰语,但我认为Sqlninja特别属于Fedora。它在那里有一个非常少量的用户实际上对该计划具有合法用途。也许有人甚至会在它上工作,并使其成为一个功能性穿透测试工具,其背后具有真正的社区,而不是现场收购的钝力仪器。如果发生这种情况,那么它应该被录取到Fedora中。正如它所说,它看起来非常像Fedora及其赞助商的潜在头痛,而不是对较大社区的胜利。