Sicherheitsrisiko Open Source
Open-Source-Entwickler scheinen sich zu wenig um Sicherheit zu kümmern. Diesen Schluss legt zumindest eine aktuelle Studie nahe. Zahlreiche kritische Lücken werden schlicht nicht behoben und über verschiedene Software-Generationen hinweg vererbt.
Dennoch, was Fortify untersucht hat, ist nur ein Bruchteil der verfügbaren Open-Source-Projekte. Es ist sicherlich falsch, nun generell Open Source als unsicher zu verteufeln. Das tut auch Fortify nicht. Das Unternehmen bemängelt lediglich, dass obwohl viele Projekte inzwischen in großen Unternehmen zum Einsatz kommen, dennoch bei der Entwicklung keine angemessenen Sicherheitsprozesse und Tests durchgeführt werden.
Daher sollten Unternehmen dem Beispiel von Finanzunternehmen folgen und selbst Risiko- und Code-Analyse-Tools im Haus installieren, um Open Source Software prüfen zu können, schlägt Fortify vor. Daneben sollten Unternehmen genau wissen, wo und im welchem Umfang quelloffene Technologien im Haus eingesetzt werden. Dabei könnten auch Technologien eingesetzt werde, wie etwa der Java Open Review des Herstellers.
“Viele Communities haben keine Kontrollstandards auf Enterprise-Level”, kommentiert Jennifer Bayuk, ehemalige Sicherheitsberaterin bei Bear Stearns. “Es gibt für Unternehmen versteckte Kosten beim Einsatz von Open Source. Denn diese Unternehmen müssen Sicherheitslecks, die sie nicht vorhersehen können, testen und patchen.”