Software::Security
Studie: Risiken freier Frameworks und Bibliotheken nicht vernachlässigen
Zwei Open-Source-Unternehmen haben mit einer Studie zur Sicherheit von Open-Source-Komponenten für Aufsehen gesorgt. Der Bericht scheint zu unterstellen, dass freie Software unsicherer ist als proprietäre, was die Unternehmen in einer Klarstellung allerdings von sich weisen.
Die Studie, die bei Aspect Security erhältlich ist, behauptet laut einem Artikel, dass die Entwickler in vielen Unternehmen freie Software heruntergeladen hätten, die bekannte Sicherheitslücken enthalte. Diese werde in Eigenentwicklungen eingesetzt, die infolgedessen unsicher seien. Die Studie stützt sich nach eigenen Angaben auf die Auswertung von Downloads einiger besonders populärer Frameworks und die Befragung von 2550 Entwicklern.
Dass die in der Studie ermittelten Prozentzahlen mit der Realität nichts zu tun haben, dürfte schon aus der Methodik der Studie klar sein. Mark Thomas, Mitentwickler von Apache Tomcat und dort auch im Sicherheits-Team aktiv, merkte an, dass die Zahlen nicht überraschend seien, aber für proprietäre Produtke genauso aussehen würden. In vielen Fällen dürften die Unternehmen bereits Gegenmaßnahmen ergriffen haben oder seien von einer Sicherheitslücke gar nicht betroffen. Beispielsweise kann die Sicherheitslücke nur in bestimmten Konfigurationen auftreten, die nicht zutreffen. Oder eine andere Komponente in der Software sorgt dafür, dass die Sicherheitslücke keine Auswirkung haben kann. Für einige Anwender ist vielleicht auch das Risiko, eine unsichere Komponente einzusetzen, geringer als das Risiko, das bei einem Update entsteht.
Andrew Aitken, Gründer der Olliance Group, die inzwischen zu Black Duck gehört, stört sich an der vermeintlichen Aussage der Studie, dass Open Source von niedriger Qualität und riskant sei. Das Gegenteil sei der Fall, wie beispielsweise in den Analysen von Coverity gezeigt wurde.
Sonatype und Aspect Security reagierten auf die Vorwürfe mit einer Erklärung, dass sie an keiner Stelle freier Software eine niedrige Qualität unterstellen. Vielmehr seien beide Firmen in der freien Software verwurzelt. Freie Komponenten seien großartig für die Entwicklung, aber man sollte auch die Risiken nicht vernachlässigen. Zu oft wird eine solche Komponente einfach benutzt, ohne das zu dokumentieren und ohne in dem Fall, dass eine Sicherheitslücke entdeckt wird, für ein Update zu sorgen.
Sonatype verfügt über Produkte, die dieses Risiko verringern sollen. Mit dem »intelligenten« Repositoriums-Manager Nexus lassen sich die in die Projekte eingebundenen freien Komponenten verwalten. Das Unternehmen unterhält ein Repositorium, in dem die wichtigsten Komponenten in aktuellen Versionen und somit frei von bekannten Sicherheitslücken verfügbar sind. Aspect Security dagegen ist ein Beratungs-Unternehmen, das zu den Gründungsmitgliedern des Projektes OWASP (Open Web Application Security Project) zählt.
