Open Source als Sicherheits-Risiko für Unternehmen?

23. Juli 2008, 08:26
  • open source
  • security
  • sicherheit
  • studie
image

Eine kontroverse Studie.

Eine kontroverse Studie.
Die meisten im Enterprise-Bereich verbreiteten Open-Source-Pakete würden signifikante und unnötige Risiken für ihre Anwender bedeuten, erklärt der Sicherheitsspezialist Fortify in der "Open Source Security Study", die das Unternehmen gestern, Montag, veröffentlicht hat. Der Studie zufolge sind Entwicklungsprozesse bei Open-Source-Software (OSS) oft unsicher und der Zugang zu Sicherheitsexpertise für Anwender beschränkt. Die Basis für den Report bildet eine Analyse von elf quelloffenen Java-Paketen durch den Anwendungssicherheitsspezialisten Larry Suto.
"Die getestete Auswahl besteht aus wenigen Anwendungen, noch dazu allesamt in Java, und ist damit sehr begrenzt", hält dem allerdings Bernhard Reiter, Deutschland-Koordinator der Free Software Foundation Europe (FSFE), im Gespräch mit 'pressetext' entgegen. "Eine Schlussfolgerung hinsichtlich der Sicherheit von freier Software im Allgemeinen kann daraus nicht gezogen werden."
Die Untersuchungen hätten laut Fortify gezeigt, dass Best Practices für Sicherheit bei quelloffenen Projekten geringen Stellenwert hätten. Es gebe kaum sichere Entwicklungsprozesse. "Fast alle Oss-Communities" würden Nutzern kaum mit Sicherheits-Expertise bei der Behebung von Fehlern und Sicherheitsrisiken helfen.
Reiter beanstandet auch diese Feststellung. Das Sample sei klein und lege den Fokus auf Entwickler-Communities, statt auf professionelle kommerzielle Open-Source-Anbieter. "Der freien Software wird 'kommerzielle' Software gegenübergestellt, was ein Unverständnis des Wesens freier Software zeigt", meint Reiter. In der Studie wurde mit JBoss ein Projekt berücksichtigt, hinter dem mit RedHat ein grosser kommerzieller Oss-Anbieter steht - und genau bei diesem Paket hat Fortify auch vergleichsweise wenige Fehler gefunden.
Untersucht wurden in der Studie ausschliesslich Java-Projekte, da diese Programmiersprache laut Fortify sehr verbreitet sei. Die Auswahl der elf Pakete sollte repräsentativ für viele Anwendungsbereiche stehen, enthält aber gleich fünf Applikationsserver-Lösungen und wird von Reiter als Webanwendungs-lastig eingestuft. Mit dem statischen Analysewerkzeug Fortify SCA wurden in den Quellcodes der jeweils aktuellsten Paket-Versionen in insgesamt über vier Millionen Codezeilen mehr als 40'000 Fehler gefunden - ein beachtlicher Wert. Allerdings fehlt Reiter der Vergleich zu nicht-freier Software. "So ein Test der Quellcodes wäre für proprietäre Software gar nicht möglich", meint Reiter. Er kritisiert daher, dass Fortify in der Studie von einem "grösseren Risiko" für Unternehmen durch OSS spricht. Ohne den direkten Vergleich sei nicht bewiesen, dass proprietäre Software sicherer sei.
Einen Vorteil von OSS gegenüber proprietären Lösungen sieht Reiter durch die Studie bestätigt. "Unabhängige Untersuchungen sind möglich und können von jedem durchgeführt werden." Das machen in grösserem Massstab beispielsweise Fortifys „Java Open Review (JOR) Project“)

Loading

Mehr zum Thema

image

IT-Problem: Kriminelle bestehlen St. Galler Kantonalbank

Beim Ostschweizer Institut konnte ein Konto stark überzogen werden. Der Grund war laut SGKB eine "sehr spezifische Latenz".

publiziert am 18.11.2022
image

Schweizer Polizei verhaftet berüchtigten Cyberbanden-Chef

"Jabberzeus"-Anführer Vyacheslav "Tank" Penchukov wurde in Genf verhaftet. Schweizer Behörden wollen ihn nun an die USA ausliefern.

publiziert am 17.11.2022 3
image

Industrielle IoT-Daten vereinsamen in Abteilungen

Weil Daten nur dort verwendet werden können, wo sie erhoben wurden, können viele Produktionsunternehmen deren Potenzial nicht ausreizen, heisst es in einer Studie.

publiziert am 16.11.2022
image

Branchen-Chefs investieren gerne in die IT-Sicherheit

Viele Unternehmen automatisieren lieber die Sicherheit als die Cloud, zeigt der "2023 Global Tech Outlook" von Red Hat.

publiziert am 16.11.2022