In der Open Source Security Studie hat das Unternehmen Fortify Software mehrere Projekte in verschiedenen Versionen unter die Lupe genommen. Das ernüchternde Ergebnis: 22.828 Cross-Site-Scripting-Lecks und 15.612 Möglichkeiten für SQL-Injektions haben die Sicherheitsexperten entdeckt. Meist gehe die Zahl der Fehler mit neuen Generationen nicht zurück.
Am deutlichsten zeige sich das an dem Projekt ‘Hipergate’. So wurden in der Version 2.1.2.0 rund 10.730 Fehler gefunden. In der nachfolgenden Version 3.0.2.6 waren es 14.425 und das obwohl diese Version rund 28.000 Codezeilen weniger hat.
Fortify macht in der Studie fest, dass in vielen Projekten noch kein Prozess für eine sichere Entwicklung eingeführt wurde. Daher würden zahlreiche kritische Fehler nicht behoben. Zudem, so die Fortify-Studie weiter, würden beinahe alle Open-Source-Projekte den Anwendern keinen Zugang zu Sicherheitsrelevanten Informationen gewähren, über die sich diese Fehler, Lecks und Risiken beheben ließen.
Fortify hat auch Vorschläge, wie sich dieses Problem eventuell beheben ließe: “Wir haben uns drei Möglichkeiten überlegt: Eine Dokumentation, in der Sicherheitsfragen und auch sichere Entwicklungen belegt sind; ein eigener E-Mail-Alias, über den Sicherheitsprobleme berichtet werden können oder einen einfachen Zugang zu Sicherheitsexperten des Teams, um mit ihnen Probleme diskutieren zu können.” Bislang hätten die wenigsten Projekte auch nur eine dieser Maßnahmen ergriffen.
Mit genKI gerät die Ära von Software as a Service ins Wanken. Die Alternative sind…
Event: Anwendertagung und Fachausstellung "Quantum Photonics" am 13. und 14. Mai 2025 in Erfurt.
Mit dem Cyber Resilience Act, dem Data Act, der Produktsicherheitsverordnung und der neuen Produkthaftungsrichtlinie greift…
Fred, der KI-gesteuerte digitale Assistent, nutzt den Generative AI Service der OCI und die Oracle…
Cyberkriminelle verstärken Angriffe mit FakeUpdates und RansomHub als Schlüsselwerkzeuge.
![](data:image/svg+xml;charset=utf-8,<svg height="1px" width="1px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
View Comments
Majos und Janas Blog
Hallo.
Was die Studie verschweigt, ist, dass es z.B. im Windows-System ebenso Fehler gibt, die mitunter jahrelang nicht behoben werden.
Auch finde ich das Ergebnis dieser Studie nicht aussagekräftig. Nimmt man das Projekt "Hipergate" raus, halbieren sich schon die Fehlerzahlen.
Mario Große
Hat mich nicht überzeugt
Was Mario Große noch vergessen hat ist, dass Fehler in Microsoft-Systemen dazu oft auch noch verschwiegen werden.
Was ich nicht nachvollziehen kann ist, dass in OpenSource-Produkten kein Zugang zu den sicherheitsrelevanten Teilen bestehen soll. Offener als Code-Offen geht meiner Meinung nach nicht.
Also für mich alles nicht überzeugend.
Kritikfähigkeit
Liebe OSS-Anhänger,
werdet erwachsen! Dazu gehört auch, dass man Kritik annimmt und ein wenig Selbstkritik übt.
Ihr habt alle Chancen etwas besser zu machen - nutzt sie!
Dieses Projekt ist wirklich nicht repräsentativ
Ich schließe mich dem Vorvorredner an: Hipergate scheint einfach der letzte Müll zu sein. Wenn man die Seite "What is hipergate?" anwählt, steht doch da tatsächlich: "All applications are addresses from Internet Explorer." Uuuarrgh! Da frickeln wohl ein paar Softwarebastler herum, die auch sonst nicht viel Ahnung haben.
Natürlich hat der Vorredner recht: Kritik muss man annehmen und versuchen, es besser zu machen. Aber eine solche Müllsoftware ist eben nicht repräsentativ für OSS und deswegen kann man aus der Kritik an Hipergate rein gar nichts lernen.