Drücken Sie „Enter“, um den Inhalte zu überspringen

Mythen über die Sicherheit von Open-Source-Software

Last updated on Dezember 17, 2020

Open-Source-Software gilt vielen als sicherer als Closed-Source-Software, weil andere Entwickler prinzipiell die Möglichkeit haben, den Quellcode einer Anwendung anzusehen und so Sicherheitslöcher darin aufzuspüren. Das ist gut und auch richtig so. Die Frage ist nur, ob sich wirklich immer Freiwillige finden, um diese Überprüfungen durchzuführen? Ich habe da seit vielen Jahren meine Zweifel. Nur weil etwas getan werden kann, heißt es nicht, dass es auch getan wird.

Die Microsoft-Tochter Github hat vor kurzem mehrere Berichte veröffentlicht, von denen sich einer mit Thema Sicherheit beschäftigt. Die Ergebnisse finde ich relativ erschreckend. So dauert es im Schnitt vier Jahre bis eine Sicherheitslücke in Open-Source-Software entdeckt wird. Das sind rund vier Jahre zu viel und entspricht überhaupt nicht dem Bild der grundsätzlich sichereren freien Software. Aber selbst wenn die Programmierer in ihrem eigenen Code alles richtig gemacht haben, kommt es immer wieder vor, dass sie Komponenten einbinden, die teilweise seit Jahren nicht mehr aktualisiert wurden.

Robert Lemos von Dark Reading hat ebenfalls Zweifel:

“Coding new features, improving tools, and working on new ideas are the top-3 activities that motivate open-source developers to continue coding. At the bottom of the list? Security.”

Der Security-Report von Github enthält noch weitere interessante Zahlen. So dauert es durchschnittlich knapp viereinhalb Wochen bis ein Fix bereitsteht, nachdem eine neue Schwachstelle bekannt wurde. Das dürfte erheblich schneller sein als bei proprietärer Software. Nachdem ein Update freigegeben wurde, dauert es etwa zehn Wochen, um die Nutzer darüber zu informieren. Wissen diese aber erstmal Bescheid, dann installieren sie den Patch in der Regel auch innerhalb einer Woche.

Die Zahlen sprechen in keinster Weise gegen Open-Source-Software. Nur die Annahme, dass sie per se sicherer ist, halte ich für falsch und mit dem Report widerlegt. Eher hängt es vom Einzelfall ab. Allein die Möglichkeit, einen Quellcode auf Schwachstellen zu prüfen, ist trotzdem ein großer Vorteil. Das ist unbestritten. Nur kann man sich nicht darauf verlassen, dass auch wirklich jemand den Quellcode liest und darin nach Sicherheitslücken sucht. Bei größeren Projekten mag das der Fall sein, aber bei kleineren? Wohl eher nicht.

Gib den ersten Kommentar ab

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.