LordGregGreg Back verlässt das Emerald-Projekt 
News
Dienstag, den 17. August 2010 um 13:14 Uhr
GreenLife Emerald LogoEiner der Hauptentwickler des meistgenutzten alternativen Second Life Clients, des Emerald-Viewers, LordGregGreg Back (LGG), hat dem Projekt nach über zwei Jahren Mitarbeit den Rücken gekehrt.

In einem ausführlichen Blogpost erklärt er seine Gründe. Schwere Anschuldigungen und klare Distanzierung macht LGG nun öffentlich und erklärt die langwierigen Hintergründe.

Modular Systems konterte direkt und distanzierte sich von LGG.
Laut Katherine Berry haben alle qualitätsbewussten Entwickler das Boot bereits verlassen und auch LGG gab bei seinem Weggang Einblicke in die mögliche Zukunft des Emerald Viewers.

LordGregGreg schreibt, dass er diesen Schritt schon vor langer Zeit hätte tun sollen, etwas blauäugig sei er wohl gewesen. Alles, was er ausführt, basiere auf seiner persönlichen Erinnerung und Wahrnehmung, da nur sehr wenige Dinge jemals schriftlich festgehalten worden seien.
Emerald sei heute nicht mehr das, was es einmal gewesen ist. Er habe im Verlauf von zwei Jahren wahnsinnig viel Zeit in das Projekt investiert und es sei für ihn schmerzhaft den Weg zu sehen, den es genommen hat.

Emerald startete als Gemeinschaftsprojekt talentierter Programmierer - um etwas zu bewegen und etwas zu erschaffen, das man als Geschenk an seine Freunde geben könne. Im Laufe der Zeit haben zwar viele verschiedene Personen an Emerald gearbeitet, aber das gegenseitige Vertrauen der Entwickler untereinander wäre niemals wirklich gefährdet gewesen, da jedweder Arbeitsschritt völlig transparent gewesen sei und der Peer-Review (Gegenlesen und Kontrolle von Fachleuten, AdR) funktionierte.

Gerade als es seinerzeit offene Fragen an der Integrität des Viewers gegeben habe, versprach LGG, dass er jede Codeänderung doppelt und dreifach prüfen würde, so dass er auch weiterhin für die Sicherheit garantieren könne. Leider fühle er sich wegen einer Reihe von Gründen nicht mehr in der Lage, dies weiterhin zu tun.


Emkdu - Lizensierte Intransparenz für Emerald

Als Emkdu, eine Programmbibliothek die zur schnelleren Abwicklung der Darstellung von JPEG-2000-Bildern dient, hinzugefügt wurde, bemerkte LGG nicht, dass diese Bibliothek dazu benutzt werden könnte, Code am Peer-Review vorbei einzubauen. Diese Geschehnisse passierten hinter LGGs Rücken.
Externe Reviewer waren es dann auch, die herausfanden, dass in der Bibliothek Code hinzugefügt wurde, der den Namen des Fenstertitels des Viewers sowie des Dateipfades zum Viewer unter Mac OS X und Linux in verschleierter Art und Weise veröffentlichte.

Dies wurde seinerzeit intern mehrfach debattiert, ein Beheben wurde vorgesehen. Die Bibliothek blieb bestehen - stärker verschlüsselt. Geschlossen wurde die Lücke dabei jedoch nicht, wie wiederum externe Reviewer heraus fanden.
Eine noch stärkere Verschlüsselung war das Ziel erneuter Gespräche um die lizensierte Bibliothek, mit der Folge, dass der Code unwahrscheinlich zu knacken ist. Die Lücke gäbe es jedoch noch immer.

Obwohl das Ersetzen oder Löschen von Emkdu das Problem lösen würde, musste sich LGG eingestehen, dass die Funktion im Code seit Monaten aktiv war, ohne dass jemand davon wusste.
Losgelöst von den Absichten des Entwicklers, der diesen Code einbaute, machte diese Tatsache LGG eines unausweichlich klar: Er war nicht mehr in der Lage, jede Codeänderung doppelt zu prüfen.


Keiner für Alle? - Das Teamproblem


Bei dem Versuch, eine Lösung für das Problem zu finden, rannte LGG gegen verschlossene Türen - die meisten seiner Emerald-Kollegen betrachteten das Problem als nicht elementar.

Lordgreggreg Back Mehrfach versuchte er seine Kollegen, über die Sicherheitslücke aufzuklären, analysierte und stellte Thesen der Ursachen auf, wie seinem Dokument für die Entwickler zu entnehmen ist.
LGG bekräftigte seine Meinung, dass proprietärer Code, versteckte Designs und einzelne Entwicklerlizenzen in Emerald keinen Platz finden dürfen. Menschen machen Fehler und daher sei es wichtig, dass andere alles ohne große Hürden wie Verschlüsselung prüfen könnten. Aber es habe sich nichts geändert.
Ein Ergebnis war, dass er am 01. August in seinem Blog öffentlich bekannt gab, wie man auf Windowssystemen das Ausführen von Emkdu verhindern kann.

Nach LGGs Meinung wird es in Zukunft noch schlimmer werden, da alle zukünftigen erhältlichen Programmpakete des Emerald von einem Build-Server stammen würden, auf dem die meisten Entwickler keinen Zugriff haben werden. LGG hält das Vertrauen in ein Programm für extrem wichtig, da selbst die kleinste Bibliothek Zugriff auf jede Datei des Rechners oder des Speichers haben könne, daher müsste an jeder Stelle umfangreiche Sorgfalt walten.


GPL vs. Emerald - freies Projekt für Freibier?

Unregelmäßigkeiten mit den Geldeinnahmen, Spenden und Werbeprofiten habe es zudem gegeben, die nach LGGs Meinung unbefriedigend gelöst worden seien. Einzelne Entwickler teilten sich die Einnahmen und ließen die Gruppe unberücksichtigt.
Scherzhafte Überlegungen, Funktionen in Emerald einzubauen, die den Entwicklern als Einnahmequelle dienen könnten, seien bereits im Vorfeld aufgekommen.

LGG betrachtet Emerald jedoch als ein freies Projekt - sowohl im Sinne von freier Rede/Verfügbarkeit als auch von Vergütung in Form von Freibier. Es fühle sich schlichtweg falsch ein, möglichen Einnahmequellen auf Basis der kostenlosen Arbeit anderer einzubauen, führt LGG aus. Überdies stünde diese Handhabung im Widerspruch zur GPL (General Public Licence, AdR).

Zusätzlich sieht er starke Probleme in Sachen Öffentlichkeitsarbeit, LGG bezichtigt sie gar der Ignoranz. Auch freie Entwickler müssten klar genannt sein - und woran sie exakt beteiligt seien, damit deutlich wird, dass sie unabhängig voneinander agieren. Mehrfache Versuche, diesen und andere Problempunkte im Entwicklerteam zu beseitigen, seien unbeachtet geblieben.
Von der Richtung, die das Projekt auf Basis der einzelnen Entwickler und Entwicklungen nimmt, müsse LGG sich nun klar distanzieren.

Er müsse, so schreibt er, deshalb nun ein für alle Mal einige Punkte klären:
    LordGregGreg Black Avatar
  • Es stünde außerhalb seiner Möglichkeiten die Integrität des Codes zu verifizieren. Mitmenschen, die sich wegen Spyware, Adware, Hintertüren und ähnlichem Gedanken machen, rät LGG, eigene Erkundigungen einzuholen bei jedem Programm, das man installiere und sich selbst eine Meinung zu bilden. Er selber wisse um zwei Vorfälle "schlechten Codes" in Emkdu und schrieb Anleitungen zur manuellen Behebung. Das sei aber für die Zukunft nicht genug. Eine gute Lösung sei es, den Viewer selbst zu kompilieren und nur die Komponenten einzubauen, denen man vertrauen könne.
  • Er habe niemals Geld aus dem Emeraldprojekt erhalten. Es sei für ihn immer äußerst wichtig gewesen, dass er komplett ehrenamtlich gearbeitet habe.
  • Die Entscheidungen um Emerald und den Entwicklern anderer Projekte sowie die möglichen Folgen dieser haben nichts mit ihm zu tun. Er stimme in den Punkten, die er genannt habe, mit dem Emeraldteam nicht überein und mit weiteren Projekten wie Onyx oder CDS habe er niemals etwas zu tun gehabt.
Gleichzeitig entschuldigte sich LordGregGreg bei allen, die sein Wort zur Integrität Emeralds akzeptiert und ihm vertraut hatten.


Emerald Viewer - Was nun?

Interessant an dieser nun öffentlichen Kontroverse ist, dass eine zeitnahe Reaktion von Modular Systems erfolgte, was nur zeigt, dass man sehr stark um Schadensbegrenzung bemüht ist und dies eine denkbar schlechte Nachricht für das Projekt insgesamt ist. In der offiziellen Stellungnahme wird LordGregGreg Back als ein unwichtiger Entwickler für das Projekt bezeichnet, der sich einfach mit dem Grundkonsens der restlichen Entwickler nicht mehr abfinden konnte.

LGG habe daher private Konversationen veröffentlicht sowie falsche Schlussfolgerungen gezogen, um der Reputation des Emerald-Projektes und seiner verbleibenden Entwickler zu schaden. Emerald sei auch weiterhin hohen Standards an Integrität, Ehrlichkeit und Ethik verpflichtet.

Katharine Berry, die erst kürzlich dem Emeraldteam beitrat und dort u.a. wieder kurze Zeit offen Ajaxlife-Server betrieb, verließ das Team bereits am 11. Juli wieder. Sie schrieb dazu nur einen kurzen Tweet mit dem Inhalt:
"I have left Emerald. On a related note, Emerald is dead, because everyone who cared about quality has quit in disgust."
Übersetzt bedeutet dies:
"Ich habe Emerald verlassen. Genau betrachtet ist Emerald tot, da jeder, der sich um Qualität bemühte, inzwischen in Empörung gegangen ist."

Weiterführende Links:

Fast jeder dritte Avatar nutzt Emerald (09.07.2010)
Die "Third Party Viewer Policy" - Eine Nachlese (11.05.2010)
Die neue "Third Party Viewer Policy" und ihre Folgen (29.03.2010)
GreenLife Emerald - eine mögliche Alternative zum Second Life Viewer (Juni 2009)
 

Bitte Einloggen oder Registrieren um Kommentare zu schreiben.

Panorama 

Neue Artikel:
rss-005

Metaversen 

Neue Artikel:
VWI RSS

IT / Tech 

Neue Artikel:
VWI RSS

Second Life 

Neue Artikel:
rss-005

Mitmach-News 

Neue Artikel:
rss-005