Klartext von Cornelius Weiss, Metaways

Wie sicher ist Open-Source-Software?

Cornelius Weiss, Abteilungsleiter Software Engineering beim IT-Dienstleister Metaways, über die Sicherheit von Open-Source-Software im Vergleich zu proprietärer Software.

Cornelius Weiss ist Abteilungsleiter Software Engineering bei Metaways

Open-Source ist nicht per se sicherer als kommerzielle Lösungen – das hat auch die jüngste Sicherheitslücke von OpenSSL gezeigt. Wo Menschen arbeiten, da passieren Fehler – das gilt in Open-Source-Projekten ebenso wie bei der Entwicklung proprietärer Software. Es ist aber die andere Art und Weise, wie mit Problemen umgegangen wird, die im Endergebnis für mehr Sicherheit bei Open-Source-Lösungen sorgen.

Hersteller proprietärer Software folgen hier dem Prinzip „Security through Obscurity“ – also der Idee, die Sicherheit von Systemen zu gewährleisten, indem man ihre Funktionsweise geheim hält. Wird eine Schwachstelle entdeckt, kommuniziert der Anbieter deshalb nur, dass es eine solche gibt und dass die Lücke mit entsprechenden Updates und Patches geschlossen werden kann. Den Anwendern bleibt dabei nichts übrig, als dem blind zu vertrauen. Überprüfen kann er es nicht.

Open-Source-Projekte verfolgen dagegen eine Philosophie der Transparenz. Wird eine Lücke entdeckt, dokumentieren sie in aller Öffentlichkeit, wie der Fehler aussieht, wie er sich ausnutzen lässt und wie er behoben wurde. Da der Quellcode komplett offen liegt, kann ihn jedermann durchlesen und die Angaben des Projekts selbst überprüfen. So ist es auch bei Heartbleed geschehen. So ärgerlich dieser Fall also ist, weil er so lange unentdeckt blieb, so deutlich macht er doch erneut, wie die Open-Source-eigene Transparenz am Ende für mehr Sicherheit sorgt.
Anwender sollten sich also vorab über das dahinterstehende Projekt informieren. Hat die Zahl der Mitarbeiter in letzter Zeit zu- oder abgenommen? Wie aktiv ist das Projekt? Wie häufig werden neue Versionen veröffentlicht? Von wann ist das letzte Release?

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok