Sicherheitslücken

21.07.2008 20:11

Open Source-Software weniger sicher als gedacht?

Open Source-Software wird meist eine größere Sicherheit als proprietären Anwendungen zugeschrieben. In der Realität scheint dies jedoch nicht der Fall zu sein - so das Ergebnis einer Studie durch den Security-Dienstleister Fortify.

Das Unternehmen untersuchte die elf meist genutzten offenen Java-Applikationen im Unternehmensbereich, darunter den JBoss Application Server, Apache Derby und OpenCMS. Gefunden wurden zahlreiche Sicherheitslücken, die vor allem Cross-Site-Scripting- und SQL-Injection-Angriffe ermöglichen.

Das Problem sehen die Sicherheitsexperten von Fortify vor allem in der Organisation des Entwicklungsprozesses. Dabei würden offenbar häufig nicht einmal die einfachsten Sicherheitsrichtlinien eingehalten.

Aber auch im Nachhinein fänden zu selten Korrekturen statt. Die meisten Probleme waren auch nach mehreren Versionssprüngen noch vorhanden, hieß es. Dies wird unter anderem auf ein mangelndes Reporting-System zurückgeführt. So würden die meisten Open Source-Projekte nicht über eine zentrale Anlaufstelle verfügen, an die Fehler gemeldet werden können.

Den Angaben zufolge soll die Studie allerdings keinen direkten Vergleich zwischen quelloffener und proprietärer Software darstellen. Entsprechende Angaben zur Gegenseite fehlen denn auch. Man habe aber darauf hinweisen wollen, dass man insbesondere im Unternehmensumfeld nicht auf vermeintliche Sicherheit vertrauen sondern entsprechende Security-Maßnahmen ergreifen sollte, so Fortify.

Christian Kahle

Nachricht versenden
Kommentieren
Hinweis einsenden

Diese Nachricht empfehlen:

[o1] am

Wer sagte überhaupt, dass Open Soure sicherer ist?

[re:1] am

@davidsung: Das frag ich mich auch gerade. Bestimmt die Aussage von jemandem dessen Gehalt davon abhing. Wie immer fern der Wahrheit.

[re:2] am

@davidsung: open source wird oft mit linux in verbindung gebracht.. daher schätz ich

[re:3] am

(+1)

Bei Open Source kann doch jeder den Quellcode einsehen und nach Fehlern suchen und sie gar selber fixen, das geht ja sooooo viel schneller als bei closed Source, wo man sich auf die Gnade des Herstellers verlassen muss, denn die Comunity/OS Hersteller bringen ja Patches immer sofort, andere nur einmal im Monat .......... das ist auf einmal alles nie gesagt worden oder wie?

Bearbeitet am 21.07.08 um 21:31 Uhr.

[re:4] am

@davidsung: Och, wenn du hier mal rumstöberst und bei News zu OPenSource-Produkten die Kommentare liest, wirst du einige finden die das sagen. Das Prinzip, dass jeder nach Lücken suchen kann ist schon richtig. Aber längst nicht jeder kann sie auch fixen. Meist kann man nur Postings auf Mailinglisten machen und nicht direkt am Quellcode fummeln. Ob dieses Posting gelesen/beachtet/eingepflegt wird steht auf nem ganz anderen Blatt.

Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an

oder verwenden Sie Ihren bestehenden Zugang.

Benutzername oder Passwort vergessen?