Die meisten im Enterprise-Bereich verbreiteten Open-Source-Pakete bringen ihren Anwendern signifikante und unnötige Risiken. Zu diesem Schluss gelangt der Sicherheitsspezialist Fortify mit seiner „Open Source Security Study“, die das Unternehmen jetzt veröffentlicht hat. Der Studie zufolge sind Entwicklungsprozesse bei Open-Source-Software (OSS) oft unsicher. Außerdem würden „fast alle OSS-Communities“ Nutzern kaum bei der Behebung von Fehlern und Sicherheitsrisiken helfen.
Basis für den Report bildet eine Analyse von elf quelloffenen Java-Paketen durch den Anwendungssicherheitsspezialisten Larry Suto. „Die getestete Auswahl ist mit wenigen Anwendungen, noch dazu allesamt in Java, sehr begrenzt“, kritisiert Bernhard Reiter, Deutschland-Koordinator der Free Software Foundation Europe (FSFE). Eine Schlussfolgerung hinsichtlich der Sicherheit von freier Software im allgemeinen könne daraus nicht gezogen werden.
„Es wird der Anschein erweckt, dass freie Software unsicher ist“, beanstandet Reiter. Dabei sei das Sample klein und lege den Fokus auf Entwickler-Communities, statt auf professionelle kommerzielle Open-Source-Anbieter. Dabei sei im Rahmen der Studie mit JBoss ein Paket berücksichtigt worden, hinter dem mit Red Hat ein großer kommerzieller OSS-Anbieter stehe – und genau bei diesem Paket habe Fortify auch vergleichsweise wenige Fehler gefunden.
Mit dem statischen Analysewerkzeug Fortify SCA wurden im Quellcode der jeweils aktuellsten Paket-Versionen mit insgesamt über vier Millionen Codezeilen mehr als 40.000 Fehler gefunden – ein beachtlicher Wert. Allerdings fehlt Reiter der Vergleich zu nicht freier Software. „So ein Test der Quellcodes wäre für proprietäre Software gar nicht möglich“, sagt er. Ohne den direkten Vergleich sei nicht bewiesen, dass proprietäre Software sicherer sei.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…