Im letzten Dezember wurde eine gravierende
Sicherheitslücke in der Java-Bibliothek Log4J entdeckt. Entwickler und Security-Fachleute sprachen von einem Sicherheits-Super-GAU. Das Framework wird von diversen Anwendungen genutzt und gilt als De-Facto-Standard. Nach der Entdeckung entbrannte eine Diskussion über die Sicherheit von Open-Source-Lieferketten: konkret über die vielfältigen Abhängigkeiten der Projekte und den Einsatz von quelloffenem Code, der auf Freiwilligenbasis entwickelt wird, aber in Firmenanwendungen steckt. Trotz dieser Diskussionen scheint aber das Vertrauen in die Sicherheit von OS-Lösungen nach wie vor intakt.
Dies legt zumindest ein Report von Red Hat nahe. Der Konzern, der sein Geld mit dem Verkauf seiner Enterprise-Open-Source-Produkte mit Support-Verträgen verdient, hat fast 1300 Führungskräfte rund um den Globus befragen lassen. Red Hat kommt nach der Umfrage zum Schluss: Enterprise-Open-Source-Lösungen würden bei den Firmen immer wichtiger, während proprietäre Software an Bedeutung verliere – auch wegen der Security.
Denn die Umfrageteilnehmer gaben an, dass nicht nur neue Technologien für den Einsatz von Open Source eine grosse Rolle spielten, sondern auch die höhere Softwarequalität und eine bessere Sicherheit. Das Vertrauen in die Security ist trotz der Log4Shell-Lücke im Vergleich zum letzten Jahr sogar leicht gestiegen: 89% der Befragten waren überzeugt, dass Open-Source-Software für Unternehmen mindestens genauso sicher sei wie proprietäre Software, wenn nicht sogar sicherer.
Darum hält das Vertrauen auch nach der Lücke
"Zumindest gilt bei Open-Source nicht das Prinzip 'Security by Obsucrity', stattdessen kann jeder den Quellcode prüfen", erklärt Matthias Günter, Vorstandsmitglied von CH Open, einem Verein für die Förderung von Open Source. Natürlich passierten überall Fehler, Open Source sei nicht per se sicherer, aber es biete vielseitige Möglichkeiten zur Kontrolle, sagt der Projektleiter und Business-Analyst, der seit 20 Jahren in der IT tätig ist. Dennoch müsse man dringend über Security sprechen.
"Zu lange hat sich die Software-Gemeinschaft mit der Annahme getröstet, dass Open-Source-Software aufgrund ihrer Transparenz und der Vermutung, dass 'viele Augen' über sie wachen, um Probleme zu erkennen und zu lösen, generell sicher ist", schrieb Googles Chefjurist Kent Walker anlässlich eines
hochkarätigen Krisentreffens wegen der Log4Shell-Lücke. Der Open-Source-Evergreen der "vielen Augen" taucht nun in der Umfrage von Red Hat erst am Schluss der wichtigsten Argumente auf. Und auch die selbständige Überprüfbarkeit des Codes spielte eine untergeordnete Rolle – nur gerade 38% nannten dies als Vorteil gegenüber proprietärer Software.
Stattdessen sagte über die Hälfte der Führungskräfte, dass ihr Team gut getesteten Open-Source-Code für ihre internen Anwendungen verwenden könnte. Und auch die klare Dokumentation von Sicherheitspatches sowie deren rasche Verfügbarkeit für Business-Anwendungen wurden von über der Hälfte der Befragten als Security-Argument genannt. Für Red Hat ist damit klar: "Was wir als Mythologie der Open-Source-Sicherheit bezeichnen könnten, scheint auf dem Rückzug zu sein."
Auch Matthias Günter betont, dass das vielhändige Testen ein Vorteil sei. Grosse Sicherheit erhöhe die Aufwände, ob bei Open Source oder anderer Software. Für viele Firmen sie es entscheidend, auf ein verlässliches Unternehmen zählen zu können, das die Distribution und den Support gerade auch mit Sicht auf die Sicherheit handhabe. Letztlich müsse man die Security aber ins Design einbauen und die zunehmende Komplexität so weit wie möglich reduzieren. Erste Ansätze für mehr Sicherheit wurden kürzlich
von der Open Source Security Foundation (OpenSSF) vorgestellt.