Sicherheitsrisiko Open Source
Open-Source-Entwickler scheinen sich zu wenig um Sicherheit zu kümmern. Diesen Schluss legt zumindest eine aktuelle Studie nahe. Zahlreiche kritische Lücken werden schlicht nicht behoben und über verschiedene Software-Generationen hinweg vererbt.
“Open-Source-Software kann eine wertvolle Option für Unternehmen sein, doch genau wie bei kommerzieller Software sollte sich ein CIO um Sicherheitslecks kümmern”, erklärte Howard A. Schmidt, ein ehemaliger Sicherheitsberater des Weißen Hauses. So müsse in den Projekten weit mehr als bisher der Code getestet und analysiert werden, um damit einen sicheren Entwicklungsprozess anzuregen.
Für Fortify hat sich der Sicherheitsspezialist ‘Larry Suto 11’ die am häufigsten verwendeten Open-Source-Java-Packages vorgenommen. Neben der Analyse von Dokumentationen, mit der die Sicherheit des Entwicklerprozesses untersucht wurde, wurden jeweils verschiedene Versionen von Projekten heruntergeladen und mit dem Fortify SCA untersucht, dem statischen Analyse-Tool der Suite Fortify 360. Bei besonders sensiblen Bereichen, wurden auch manuelle Scans durchgeführt.
Untersucht wurden die Projekte Tomcat, Hibernate, JBoss, Struts, Hipergate, Derby, Geronimo, JOnAS, OFBiz, OpenCMS und Resin.
Fortify zitiert zudem eine Gartner-Studie, die prognostiziert, dass bis 2011 über 80 Prozent aller kommerziellen Software-Produkte Open-Source-Bestandteile haben werden. Also auch von dieser Warte her, scheint das Problem täglich mehr Gewicht zu bekommen. Zudem steigt die Verbreitung von solchen Technologien in den Unternehmen.