Die meisten im Enterprise-Bereich verbreiteten Open-Source-Pakete bringen ihren Anwendern signifikante und unnötige Risiken. Zu diesem Schluss gelangt der Sicherheitsspezialist Fortify mit seiner „Open Source Security Study“, die das Unternehmen jetzt veröffentlicht hat. Der Studie zufolge sind Entwicklungsprozesse bei Open-Source-Software (OSS) oft unsicher. Außerdem würden „fast alle OSS-Communities“ Nutzern kaum bei der Behebung von Fehlern und Sicherheitsrisiken helfen.
Basis für den Report bildet eine Analyse von elf quelloffenen Java-Paketen durch den Anwendungssicherheitsspezialisten Larry Suto. „Die getestete Auswahl ist mit wenigen Anwendungen, noch dazu allesamt in Java, sehr begrenzt“, kritisiert Bernhard Reiter, Deutschland-Koordinator der Free Software Foundation Europe (FSFE). Eine Schlussfolgerung hinsichtlich der Sicherheit von freier Software im allgemeinen könne daraus nicht gezogen werden.
„Es wird der Anschein erweckt, dass freie Software unsicher ist“, beanstandet Reiter. Dabei sei das Sample klein und lege den Fokus auf Entwickler-Communities, statt auf professionelle kommerzielle Open-Source-Anbieter. Dabei sei im Rahmen der Studie mit JBoss ein Paket berücksichtigt worden, hinter dem mit Red Hat ein großer kommerzieller OSS-Anbieter stehe – und genau bei diesem Paket habe Fortify auch vergleichsweise wenige Fehler gefunden.
Mit dem statischen Analysewerkzeug Fortify SCA wurden im Quellcode der jeweils aktuellsten Paket-Versionen mit insgesamt über vier Millionen Codezeilen mehr als 40.000 Fehler gefunden – ein beachtlicher Wert. Allerdings fehlt Reiter der Vergleich zu nicht freier Software. „So ein Test der Quellcodes wäre für proprietäre Software gar nicht möglich“, sagt er. Ohne den direkten Vergleich sei nicht bewiesen, dass proprietäre Software sicherer sei.
Neueste Kommentare
3 Kommentare zu Studie: Open Source stellt Sicherheitsrisiko für Firmen dar
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Glaube keiner Studie die Du nichgt selber gefälscht hast.
Ich finde die Studie ein bischen zweifelhaft. Schaut man nun mal in das Board der Firma Fortify so fällt einem gleich auf das da ein paar Leutchen von Microsoft sitzen. Der Director Howard Schmidt zum Beispiel war Chief Security Officer bei MS. Ein zweiter Director bei Fortify, Tod Nielsen, war Vice President in der Platform Group bei MS. Lesen wir hier Billies Meinung?. Sehr professionell.
Fragwürdige Studie…
Tja, wie falsch oder unsicher ist Software, deren Quellcode man nicht einsehen darf?
Genau das ist ja das schöne an Open-Source: Jeder kann den Code einsehen und überprüfen wie gut der Code ist. Damit kann jeder nachprüfen woran er ist.
Bei Closed-Source-Software gibt es diese Möglichkeit wie gesagt nicht – weshalb man deren Gefahr weder abschätzen noch eingrenzen kann.
Mir erscheint eine derartige Studie fast schon absurd.
Die Aussage, OpenSource-Software sei voller Fehler oder unsicher, ist genauso wie zu behaupten, dass es in offenen Räumen unordentlich ist, ohne jemals einen geschlossenen gesehen zu haben.
So weit ich weiß war Microsoft Windows sehr lange Zeit dafür bekannt, instabiler, unsicherer und schlechter programmiert zu sein als der OpenSource-Konkurrent Linux.
Und ich würde ohne Microsofts Quellcodes zu kennen einiges darauf wetten, dass das heute teilweise immernoch so ist.
typisch
OpenSource ist nicht automatisch freie Software. Erstaunlich das sich solche Feinheiten selbst in "Fachkreisen" einfach nicht durchsetzen wollen. Immerhin wurde OpenSource nicht mit "FreeWare" gleichgesetzt…
Das sieht doch nur nach einem weiterem Versuch aus OpenSource Nutzer zu verunsichern. Alleine der Vorgang im Quellcode nach Fehlern zu suchen und anschliessend gefundene Fehler als Beleg für die "Unsicherheit" herzunehmen zeugt davon die Vorteile quelloffener Software nicht verstanden zu haben.