In der Open Source Security Studie hat das Unternehmen Fortify Software mehrere Projekte in verschiedenen Versionen unter die Lupe genommen. Das ernüchternde Ergebnis: 22.828 Cross-Site-Scripting-Lecks und 15.612 Möglichkeiten für SQL-Injektions haben die Sicherheitsexperten entdeckt. Meist gehe die Zahl der Fehler mit neuen Generationen nicht zurück.

Am deutlichsten zeige sich das an dem Projekt ‘Hipergate’. So wurden in der Version 2.1.2.0 rund 10.730 Fehler gefunden. In der nachfolgenden Version 3.0.2.6 waren es 14.425 und das obwohl diese Version rund 28.000 Codezeilen weniger hat.

Fotogalerie: Zwei Jahre LiMux - ein Rückblick

Klicken Sie auf eines der Bilder, um die Fotogalerie zu starten

Fortify macht in der Studie fest, dass in vielen Projekten noch kein Prozess für eine sichere Entwicklung eingeführt wurde. Daher würden zahlreiche kritische Fehler nicht behoben. Zudem, so die Fortify-Studie weiter, würden beinahe alle Open-Source-Projekte den Anwendern keinen Zugang zu Sicherheitsrelevanten Informationen gewähren, über die sich diese Fehler, Lecks und Risiken beheben ließen.

Fotogalerie: Ein erster Blick auf Ubuntu 8.10

Klicken Sie auf eines der Bilder, um die Fotogalerie zu starten

Fortify hat auch Vorschläge, wie sich dieses Problem eventuell beheben ließe: “Wir haben uns drei Möglichkeiten überlegt: Eine Dokumentation, in der Sicherheitsfragen und auch sichere Entwicklungen belegt sind; ein eigener E-Mail-Alias, über den Sicherheitsprobleme berichtet werden können oder einen einfachen Zugang zu Sicherheitsexperten des Teams, um mit ihnen Probleme diskutieren zu können.” Bislang hätten die wenigsten Projekte auch nur eine dieser Maßnahmen ergriffen.

Page: 1 2 3

Silicon-Redaktion

View Comments

  • Majos und Janas Blog
    Hallo.

    Was die Studie verschweigt, ist, dass es z.B. im Windows-System ebenso Fehler gibt, die mitunter jahrelang nicht behoben werden.

    Auch finde ich das Ergebnis dieser Studie nicht aussagekräftig. Nimmt man das Projekt "Hipergate" raus, halbieren sich schon die Fehlerzahlen.

    Mario Große

  • Hat mich nicht überzeugt
    Was Mario Große noch vergessen hat ist, dass Fehler in Microsoft-Systemen dazu oft auch noch verschwiegen werden.

    Was ich nicht nachvollziehen kann ist, dass in OpenSource-Produkten kein Zugang zu den sicherheitsrelevanten Teilen bestehen soll. Offener als Code-Offen geht meiner Meinung nach nicht.

    Also für mich alles nicht überzeugend.

  • Kritikfähigkeit
    Liebe OSS-Anhänger,

    werdet erwachsen! Dazu gehört auch, dass man Kritik annimmt und ein wenig Selbstkritik übt.

    Ihr habt alle Chancen etwas besser zu machen - nutzt sie!

  • Dieses Projekt ist wirklich nicht repräsentativ
    Ich schließe mich dem Vorvorredner an: Hipergate scheint einfach der letzte Müll zu sein. Wenn man die Seite "What is hipergate?" anwählt, steht doch da tatsächlich: "All applications are addresses from Internet Explorer." Uuuarrgh! Da frickeln wohl ein paar Softwarebastler herum, die auch sonst nicht viel Ahnung haben.

    Natürlich hat der Vorredner recht: Kritik muss man annehmen und versuchen, es besser zu machen. Aber eine solche Müllsoftware ist eben nicht repräsentativ für OSS und deswegen kann man aus der Kritik an Hipergate rein gar nichts lernen.

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago