In der Open Source Security Studie hat das Unternehmen Fortify Software mehrere Projekte in verschiedenen Versionen unter die Lupe genommen. Das ernüchternde Ergebnis: 22.828 Cross-Site-Scripting-Lecks und 15.612 Möglichkeiten für SQL-Injektions haben die Sicherheitsexperten entdeckt. Meist gehe die Zahl der Fehler mit neuen Generationen nicht zurück.
Am deutlichsten zeige sich das an dem Projekt ‘Hipergate’. So wurden in der Version 2.1.2.0 rund 10.730 Fehler gefunden. In der nachfolgenden Version 3.0.2.6 waren es 14.425 und das obwohl diese Version rund 28.000 Codezeilen weniger hat.
Fortify macht in der Studie fest, dass in vielen Projekten noch kein Prozess für eine sichere Entwicklung eingeführt wurde. Daher würden zahlreiche kritische Fehler nicht behoben. Zudem, so die Fortify-Studie weiter, würden beinahe alle Open-Source-Projekte den Anwendern keinen Zugang zu Sicherheitsrelevanten Informationen gewähren, über die sich diese Fehler, Lecks und Risiken beheben ließen.
Fortify hat auch Vorschläge, wie sich dieses Problem eventuell beheben ließe: “Wir haben uns drei Möglichkeiten überlegt: Eine Dokumentation, in der Sicherheitsfragen und auch sichere Entwicklungen belegt sind; ein eigener E-Mail-Alias, über den Sicherheitsprobleme berichtet werden können oder einen einfachen Zugang zu Sicherheitsexperten des Teams, um mit ihnen Probleme diskutieren zu können.” Bislang hätten die wenigsten Projekte auch nur eine dieser Maßnahmen ergriffen.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
View Comments
Majos und Janas Blog
Hallo.
Was die Studie verschweigt, ist, dass es z.B. im Windows-System ebenso Fehler gibt, die mitunter jahrelang nicht behoben werden.
Auch finde ich das Ergebnis dieser Studie nicht aussagekräftig. Nimmt man das Projekt "Hipergate" raus, halbieren sich schon die Fehlerzahlen.
Mario Große
Hat mich nicht überzeugt
Was Mario Große noch vergessen hat ist, dass Fehler in Microsoft-Systemen dazu oft auch noch verschwiegen werden.
Was ich nicht nachvollziehen kann ist, dass in OpenSource-Produkten kein Zugang zu den sicherheitsrelevanten Teilen bestehen soll. Offener als Code-Offen geht meiner Meinung nach nicht.
Also für mich alles nicht überzeugend.
Kritikfähigkeit
Liebe OSS-Anhänger,
werdet erwachsen! Dazu gehört auch, dass man Kritik annimmt und ein wenig Selbstkritik übt.
Ihr habt alle Chancen etwas besser zu machen - nutzt sie!
Dieses Projekt ist wirklich nicht repräsentativ
Ich schließe mich dem Vorvorredner an: Hipergate scheint einfach der letzte Müll zu sein. Wenn man die Seite "What is hipergate?" anwählt, steht doch da tatsächlich: "All applications are addresses from Internet Explorer." Uuuarrgh! Da frickeln wohl ein paar Softwarebastler herum, die auch sonst nicht viel Ahnung haben.
Natürlich hat der Vorredner recht: Kritik muss man annehmen und versuchen, es besser zu machen. Aber eine solche Müllsoftware ist eben nicht repräsentativ für OSS und deswegen kann man aus der Kritik an Hipergate rein gar nichts lernen.