Open Source-Software weniger sicher als gedacht?

Open Source-Software wird meist eine größere Sicherheit als proprietären Anwendungen zugeschrieben. In der Realität scheint dies jedoch nicht der Fall zu sein - so das Ergebnis einer Studie durch den Security-Dienstleister Fortify. Das Unternehmen untersuchte die elf meist genutzten offenen Java-Applikationen im Unternehmensbereich, darunter den JBoss Application Server, Apache Derby und OpenCMS. Gefunden wurden zahlreiche Sicherheitslücken, die vor allem Cross-Site-Scripting- und SQL-Injection-Angriffe ermöglichen.

Das Problem sehen die Sicherheitsexperten von Fortify vor allem in der Organisation des Entwicklungsprozesses. Dabei würden offenbar häufig nicht einmal die einfachsten Sicherheitsrichtlinien eingehalten.

Aber auch im Nachhinein fänden zu selten Korrekturen statt. Die meisten Probleme waren auch nach mehreren Versionssprüngen noch vorhanden, hieß es. Dies wird unter anderem auf ein mangelndes Reporting-System zurückgeführt. So würden die meisten Open Source-Projekte nicht über eine zentrale Anlaufstelle verfügen, an die Fehler gemeldet werden können.

Den Angaben zufolge soll die Studie allerdings keinen direkten Vergleich zwischen quelloffener und proprietärer Software darstellen. Entsprechende Angaben zur Gegenseite fehlen denn auch. Man habe aber darauf hinweisen wollen, dass man insbesondere im Unternehmensumfeld nicht auf vermeintliche Sicherheit vertrauen sondern entsprechende Security-Maßnahmen ergreifen sollte, so Fortify.