OpenSSL: Kommentar von Cornelius Weiss, Metaways

Wie sicher ist Open-Source-Software?

Ein Kommentar von Cornelius Weiss, Team Leader Software Engineering beim IT-Dienstleister Metaways, darüber, wie sicher Open-Source- im Vergleich zu proprietärer Software ist und was Anwender vor dem Einsatz im Unternehmen beachten sollten.

„Open-Source-Projekte verfolgen eine Philosophie der Transparenz. Wird eine Lücke entdeckt, dokumentieren sie in aller Öffentlichkeit, wie der Fehler aussieht, wie er sich ausnutzen lässt, und wie er behoben wurde“, meint Cornelius Weiss von Metaways.

Open Source ist nicht per se sicherer als kommerzielle Lösungen – das hat die jüngst öffentlich gewordene Sicherheitslücke von OpenSSL noch einmal eindrucksvoll gezeigt. Wo Menschen arbeiten, da passieren Fehler, und das gilt in Open-Source-Projekten ebenso wie bei der Entwicklung proprietärer Software. Es ist aber die verschiedene Art und Weise, wie mit Problemen umgegangen wird, die im Endergebnis für mehr Sicherheit bei Open-Source-Lösungen sorgen. Das wird deutlich, wenn man sich die unterschiedlichen Prozesse vor Augen führt, die nach der Entdeckung einer Sicherheitslücke ablaufen.

Die Hersteller proprietärer Software folgen hier dem Prinzip „Security through Obscurity“ – also der Idee, die Sicherheit von Systemen zu gewährleisten, indem man ihre Funktionsweisen geheim hält. Wird eine Schwachstelle entdeckt, kommuniziert der Software-Anbieter deshalb nur, dass es eine solche gibt, dass das System verwundbar ist, und dass die Lücke mit entsprechenden Sicherheitsupdates und Patches geschlossen werden kann. Den Anwendern bleibt dabei nichts anderes übrig, als dem Hersteller blind zu vertrauen. Überprüfen kann er es nicht.

Open-Source-Projekte verfolgen dagegen eine Philosophie der Transparenz. Wird eine Lücke entdeckt, dokumentieren sie in aller Öffentlichkeit, wie der Fehler aussieht, wie er sich ausnutzen lässt, und wie er behoben wurde. Und da der Quellcode komplett offen liegt, kann ihn jedermann durchlesen und die Angaben des Projekts selbst überprüfen. So ist es auch bei Heartbleed geschehen. So ärgerlich dieser Fall also ist, weil er so lange unentdeckt blieb, so deutlich macht er doch erneut, wie die Open-Source-eigene Transparenz am Ende für mehr Sicherheit sorgt.

Vorab über Open-Source-Projekte informieren

Allerdings hat „Heartbleed“ auch ein Problem offenbart: Mangelnde Ressourcen in kritischen Projekten. OpenSSL, eine Technologie, von dem praktisch das halbe Internet abhängt, wird lediglich von einigen wenigen ehrenamtlichen Entwicklern getragen. Das hat erneut die Debatte befeuert, ob nicht diejenigen, die Open-Source-Software für ihre eigenen kommerziellen Lösungen nutzen, die entsprechenden Projekte finanziell unterstützen müssten.

Die Lehre für Anwender, die mit dem Gedanken spielen eine Open-Source-Software in ihrem Unternehmen zu nutzen, lautet: Sie sollten sich vorab über das dahinterstehende Projekt informieren. Wie viele Entwickler arbeiten daran mit? Hat die Zahl der Mitarbeiter in letzter Zeit zu- oder abgenommen? Wie aktiv ist das Projekt? Wie häufig werden neue Versionen veröffentlicht?  Von wann ist das letzte Release?

Portale wie Openhub.net bieten zur Beantwortung dieser und ähnlicher Fragen Statistiken. Sie sollten unbedingt zu Rate gezogen werden, wenn man auf eine Open-Source-Lösung setzen möchte.  Aber auch spezielle Dienstleister sind mit ihrer Erfahrung eine wertvolle Hilfe bei der Auswahl einer geeigneten Open-Source-Software. Sie können in Frage kommende Projekte beziehungsweise Programme inspizieren und analysieren, ob sie den konkreten individuellen Anforderungen des Unternehmens gerecht werden.

Anzeige
Anzeige
Vlex Software
Anzeige
PKS
©2024Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok