Open-Source ein großes Sicherheitsrisiko:
Signifikante Risiken für die Unternehmen
- Studie: Entwicklungsprozesse sind oft zu unsicher
- Experten bewerten die Untersuchung aber kritisch
Die meisten im Enterprise-Bereich verbreiteten Open-Source-Pakete bedeuten signifikante und unnötige Risiken für ihre Anwender. Zu diesem Schluss gelangt der Sicherheitsspezialist Fortify in der "Open Source Security Study", die das Unternehmen veröffentlicht hat. Der Studie zufolge seien Entwicklungsprozesse bei Open-Source-Software (OSS) oft unsicher und der Zugang zu Sicherheitsexpertise für Anwender beschränkt.
Basis für den Report bildet eine Analyse von elf quelloffenen Java-Paketen durch den Anwendungssicherheitsspezialisten Larry Suto. "Die getestete Auswahl ist mit wenigen Anwendungen, noch dazu allesamt in Java, sehr begrenzt", kritisiert Bernhard Reiter, Deutschland-Koordinator der Free Software Foundation Europe (FSFE). "Eine Schlussfolgerung hinsichtlich der Sicherheit von freier Software im Allgemeinen kann daraus nicht gezogen werden."
Falscher Anschein erweckt?
Die Untersuchungen hätten laut Fortify gezeigt, dass Best Practices für Sicherheit bei quelloffenen Projekten geringen Stellenwert hätten. Es gäbe kaum sichere Entwicklungsprozesse. "Fast alle OSS-Communities" würden Nutzern kaum mit Sicherheits-Expertise bei der Behebung von Fehlern und Sicherheitsrisiken helfen. "Es wird der Anschein erweckt, dass freie Software unsicher sei", beanstandet Reiter. Dabei sei das Sample klein und lege den Fokus auf Entwickler-Communities, statt auf professionelle kommerzielle Open-Source-Anbieter. "Der freien Software wird 'kommerzielle' Software gegenübergestellt, was ein Unverständnis des Wesens freier Software zeigt", meint Reiter. Dabei wurde in der Studie mit JBoss ein Paket berücksichtigt, hinter dem mit RedHat ein großer kommerzieller OSS-Anbieter steht - und genau bei diesem Paket hat Fortify auch vergleichsweise wenige Fehler gefunden.
Ausschließlich Java-Projekte untersucht
Untersucht wurden in der Studie ausschließlich Java-Projekte, da diese Programmiersprache laut Fortify sehr verbreitet sei. Die Auswahl der elf Pakete sollte repräsentativ für viele Anwendungsbereiche stehen, enthält aber gleich fünf Applikationsserver-Lösungen und wird von Reiter als Webanwendungs-lastig eingestuft. Mit dem statischen Analysewerkzeug Fortify SCA wurden in den Quellcodes der jeweils aktuellsten Paket-Versionen mit insgesamt über vier Mio. Codezeilen mehr als 40.000 Fehler gefunden - ein beachtlicher Wert. Allerdings fehlt Reiter der Vergleich zu nicht-freier Software. "So ein Test der Quellcodes wäre für proprietäre Software gar nicht möglich", meint Reiter. Dass Fortify zur Veröffentlichung der Studie von einem "größeren Risiko" für Unternehmen durch OSS spricht, sieht er entsprechend kritisch. Ohne den direkten Vergleich sei nicht bewiesen, dass proprietäre Software sicherer ist. (pte/red)
