“Open-Source-Software kann eine wertvolle Option für Unternehmen sein, doch genau wie bei kommerzieller Software sollte sich ein CIO um Sicherheitslecks kümmern”, erklärte Howard A. Schmidt, ein ehemaliger Sicherheitsberater des Weißen Hauses. So müsse in den Projekten weit mehr als bisher der Code getestet und analysiert werden, um damit einen sicheren Entwicklungsprozess anzuregen.
Für Fortify hat sich der Sicherheitsspezialist ‘Larry Suto 11’ die am häufigsten verwendeten Open-Source-Java-Packages vorgenommen. Neben der Analyse von Dokumentationen, mit der die Sicherheit des Entwicklerprozesses untersucht wurde, wurden jeweils verschiedene Versionen von Projekten heruntergeladen und mit dem Fortify SCA untersucht, dem statischen Analyse-Tool der Suite Fortify 360. Bei besonders sensiblen Bereichen, wurden auch manuelle Scans durchgeführt.
Untersucht wurden die Projekte Tomcat, Hibernate, JBoss, Struts, Hipergate, Derby, Geronimo, JOnAS, OFBiz, OpenCMS und Resin.
Fortify zitiert zudem eine Gartner-Studie, die prognostiziert, dass bis 2011 über 80 Prozent aller kommerziellen Software-Produkte Open-Source-Bestandteile haben werden. Also auch von dieser Warte her, scheint das Problem täglich mehr Gewicht zu bekommen. Zudem steigt die Verbreitung von solchen Technologien in den Unternehmen.
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…
“Amplify Digital and Green Transformation” hieß die zentrale Botschaft des europäischen Flagship-Events „Huawei Connect“ in…
Deutscher Bio-Lebensmittel-Einzelhändler schließt die Migration von Blue Yonder Category Management-Lösungen in die Cloud ab.
Die meisten Markenbotschaften bleiben ungehört. Wie schaffen es Unternehmen wie Siemens, SAP oder Deutsche Telekom,…
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
View Comments
Majos und Janas Blog
Hallo.
Was die Studie verschweigt, ist, dass es z.B. im Windows-System ebenso Fehler gibt, die mitunter jahrelang nicht behoben werden.
Auch finde ich das Ergebnis dieser Studie nicht aussagekräftig. Nimmt man das Projekt "Hipergate" raus, halbieren sich schon die Fehlerzahlen.
Mario Große
Hat mich nicht überzeugt
Was Mario Große noch vergessen hat ist, dass Fehler in Microsoft-Systemen dazu oft auch noch verschwiegen werden.
Was ich nicht nachvollziehen kann ist, dass in OpenSource-Produkten kein Zugang zu den sicherheitsrelevanten Teilen bestehen soll. Offener als Code-Offen geht meiner Meinung nach nicht.
Also für mich alles nicht überzeugend.
Kritikfähigkeit
Liebe OSS-Anhänger,
werdet erwachsen! Dazu gehört auch, dass man Kritik annimmt und ein wenig Selbstkritik übt.
Ihr habt alle Chancen etwas besser zu machen - nutzt sie!
Dieses Projekt ist wirklich nicht repräsentativ
Ich schließe mich dem Vorvorredner an: Hipergate scheint einfach der letzte Müll zu sein. Wenn man die Seite "What is hipergate?" anwählt, steht doch da tatsächlich: "All applications are addresses from Internet Explorer." Uuuarrgh! Da frickeln wohl ein paar Softwarebastler herum, die auch sonst nicht viel Ahnung haben.
Natürlich hat der Vorredner recht: Kritik muss man annehmen und versuchen, es besser zu machen. Aber eine solche Müllsoftware ist eben nicht repräsentativ für OSS und deswegen kann man aus der Kritik an Hipergate rein gar nichts lernen.