Der hohe Verbreitungsgrad, den das Betriebssystem Microsoft Windows für Desktopanwendungen und der Internet Explorer als Webbrowser besitzen, wird oftmals als Grund für die hohe Anzahl an entdeckten Schwachstellen und Exploits angeführt. Natürlich ist diese Argumentation nicht ganz unbegründet. So trifft es sicherlich zu, dass bei proprietärer Closed-Source-Software das Interesse der Verfasser von bösartigen Codes und sonstigen unerwünschten Codes mit dem Grad der Verbreitung der Programme steigt. Nimmt man aber ein ganz neues Entwicklungsmodell, bei dem gerade der Verbreitungsgrad eine entscheidende Rolle spielt, sieht die Sache schon ganz anders aus.
Die Einstiegshürden für die Verwendung von Open Source-Software sind sehr niedrig. Oftmals ist die Software sogar umsonst zu haben. Im Zeitalter einer zunehmenden Vernetzung fallen für den Installierenden für ein neues Betriebssystem gerade mal die Kosten einer beschreibbaren CD-ROM und der Download-Zeit an. Je nach Installationsmethode kann man sich sogar die Kosten für die CD sparen.
Diese Benutzerfreundlichkeit von Open-Source-Software führt zu einem hohen Verbreitungsgrad und gewinnt auch neue Entwickler für Open-Source-Projekte. Folglich steigt nicht nur Anzahl der Benutzer, sondern auch die der Programmierer, die sich für das Projekt interessieren. Die Entwickler der Open-Source-Software werden einfach aus der Benutzerschar rekrutiert. Darüber hinaus nutzt Open-Source-Software auch das gelegentliche Interesse von Programmierern, denen zwar die Zeit fehlt um sich dem Entwicklungsteam anzuschließen, die aber immer mal ein paar Minuten übrig haben, um nach Schwachstellen oder sonstigen Bugs zu suchen und diese zu beheben.
Daher ist die Anzahl der Personen, die sich bei einem beliebten Open Source-Programm mit dessen Schwachstellen und sonstigen Bugs sowie deren Behebung beschäftigt, im Verhältnis zu der begrenzten Anzahl von Entwicklern bei Closed-Source-Software überproportional hoch. Und diese Anzahl nimmt mit steigender Benutzerzahl weiter zu. Dabei ist die Anzahl derer, die in böswilliger Absicht nach Schwachstellen suchen, gegenüber denjenigen Benutzern, die Sicherheitslücken schließen wollen, verschwindend gering. Und selbst wenn die betreffenden Benutzer die Fehler nicht selbst beheben können, werden diese veröffentlicht, so dass andere Benutzer einen entsprechenden Code erstellen.
Die Auswirkungen dieser Praktiken werden besonders deutlich, wenn man an die schnellste beurkundete Patch-Bereitstellung für eine Schwachstelle von Microsoft denkt. Nach dem öffentlichen Bekanntwerden der Schwachstelle Anfang des Jahres dauerte es nach Angaben der Leiterin des Microsoft Security Response Center, Debby Fry Wilson, ungefähr 9 bis 10 Tage, bis das WMF Library Patch bereitgestellt war. Die Mozilla Foundation erstellt, testet und veröffentlicht hingegen Patches für den Webbrowser Mozilla Firefox in weniger als einer Woche. Die Patch-Bereitstellungszeiten für den Linux-Kernel werden sogar in Stunden statt in Tagen bemessen.
Dies ist vor allem auf die Verteilung des Arbeitsaufwands zum Testen der Patches zurückzuführen. Denn wie Debby Fry Wilson im Zusammenhang mit der raschen Veröffentlichung des WMF-Patches erklärte, beansprucht das Testen der Patches und nicht deren Entwicklung die meiste Zeit. Closed-Source-Software kann eben einfach nicht mithalten, wenn es um die Möglichkeit geht, breit angelegte Tests durchzuführen oder sogar Lösungen für beim Testen aufgetretene Probleme von den Testern selbst zu erhalten. Die Open Source-Community kann eben Tausende von Testern anstelle von bestenfalls einem Dutzend Testern in einem Unternehmen aufbieten.
Neueste Kommentare
Noch keine Kommentare zu Die Geheimnisse der Open-Source-Sicherheit
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.