Die meisten im Enterprise-Bereich verbreiteten Open-Source-Pakete bedeuten signifikante und unnötige Risiken für ihre Anwender. Zu diesem Schluss gelangt der Sicherheitsspezialist Fortify in der "Open Source Security Study", die das Unternehmen gestern, Montag, veröffentlicht hat. Der Studie zufolge seien Entwicklungsprozesse bei Open-Source-Software (OSS) oft unsicher und der Zugang zu Sicherheitsexpertise für Anwender beschränkt. Basis für den Report bildet eine Analyse von elf quelloffenen Java-Paketen durch den Anwendungssicherheitsspezialisten Larry Suto. "Die getestete Auswahl ist mit wenigen Anwendungen, noch dazu allesamt in Java, sehr begrenzt", kritisiert Bernhard Reiter, Deutschland-Koordinator der Free Software Foundation Europe (FSFE), im Gespräch mit pressetext. "Eine Schlussfolgerung hinsichtlich der Sicherheit von freier Software im Allgemeinen kann daraus nicht gezogen werden."
Die Untersuchungen hätten laut Fortify gezeigt, dass Best Practices für Sicherheit bei quelloffenen Projekten geringen Stellenwert hätten. Es gäbe kaum sichere Entwicklungsprozesse. "Fast alle OSS-Communities" würden Nutzern kaum mit Sicherheits-Expertise bei der Behebung von Fehlern und Sicherheitsrisiken helfen. "Es wird der Anschein erweckt, dass freie Software unsicher sei", beanstandet Reiter. Dabei sei das Sample klein und lege den Fokus auf Entwickler-Communities statt auf professionelle kommerzielle Open-Source-Anbieter. "Der freien Software wird 'kommerzielle' Software gegenübergestellt, was ein Unverständnis des Wesens freier Software zeigt", meint Reiter. Dabei wurde in der Studie mit JBoss ein Paket berücksichtigt, hinter dem mit RedHat ein großer kommerzieller OSS-Anbieter steht - und genau bei diesem Paket hat Fortify auch vergleichsweise wenige Fehler gefunden.
Untersucht wurden in der Studie ausschließlich Java-Projekte, da diese Programmiersprache laut Fortify sehr verbreitet sei. Die Auswahl der elf Pakete sollte repräsentativ für viele Anwendungsbereiche stehen, enthält aber gleich fünf Applikationsserver-Lösungen und wird von Reiter als Webanwendungs-lastig eingestuft. Mit dem statischen Analysewerkzeug Fortify SCA wurden in den Quellcodes der jeweils aktuellsten Paket-Versionen mit insgesamt über vier Mio. Codezeilen mehr als 40.000 Fehler gefunden - ein beachtlicher Wert. Allerdings fehlt Reiter der Vergleich zu nicht-freier Software. "So ein Test der Quellcodes wäre für proprietäre Software gar nicht möglich", meint Reiter. Dass Fortify zur Veröffentlichung der Studie von einem "größeren Risiko" für Unternehmen durch OSS spricht, sieht er entsprechend kritisch. Ohne den direkten Vergleich sei nicht bewiesen, dass proprietäre Software sicherer ist.
Einen Vorteil von OSS gegenüber proprietären Lösungen sieht Reiter durch die Studie bestätigt. "Unabhängige Untersuchungen sind möglich und können von jedem durchgeführt werden", so der FSFE-Experte zu pressetext. Das machen in größerem Maßstab beispielsweise Fortifys Java Open Review (JOR) Project https://opensource.fortify.com und Coverity Scan (pressetext berichtete: http://pte.at/pte.mc?pte=080110016). Angesichts der aktuellen Studie liege ein Geschäftsinteresse von Fortify auf der Hand, Sicherheits-Dienstleistungen an Unternehmen zu verkaufen. "Trotzdem ist es gut, dass sie mit FindBugs und JOR auf die Sicherheitsprobleme der teilnehmenden Software und der Prozesse aufmerksam machen. Das wird der freien Software helfen, noch sicherer zu werden", betont Reiter abschließend. (pte) (wl)