Sicherheitsrisiko Open Source
Open-Source-Entwickler scheinen sich zu wenig um Sicherheit zu kümmern. Diesen Schluss legt zumindest eine aktuelle Studie nahe. Zahlreiche kritische Lücken werden schlicht nicht behoben und über verschiedene Software-Generationen hinweg vererbt.
In der Open Source Security Studie hat das Unternehmen Fortify Software mehrere Projekte in verschiedenen Versionen unter die Lupe genommen. Das ernüchternde Ergebnis: 22.828 Cross-Site-Scripting-Lecks und 15.612 Möglichkeiten für SQL-Injektions haben die Sicherheitsexperten entdeckt. Meist gehe die Zahl der Fehler mit neuen Generationen nicht zurück.
Am deutlichsten zeige sich das an dem Projekt ‘Hipergate’. So wurden in der Version 2.1.2.0 rund 10.730 Fehler gefunden. In der nachfolgenden Version 3.0.2.6 waren es 14.425 und das obwohl diese Version rund 28.000 Codezeilen weniger hat.
Fortify macht in der Studie fest, dass in vielen Projekten noch kein Prozess für eine sichere Entwicklung eingeführt wurde. Daher würden zahlreiche kritische Fehler nicht behoben. Zudem, so die Fortify-Studie weiter, würden beinahe alle Open-Source-Projekte den Anwendern keinen Zugang zu Sicherheitsrelevanten Informationen gewähren, über die sich diese Fehler, Lecks und Risiken beheben ließen.
Fortify hat auch Vorschläge, wie sich dieses Problem eventuell beheben ließe: “Wir haben uns drei Möglichkeiten überlegt: Eine Dokumentation, in der Sicherheitsfragen und auch sichere Entwicklungen belegt sind; ein eigener E-Mail-Alias, über den Sicherheitsprobleme berichtet werden können oder einen einfachen Zugang zu Sicherheitsexperten des Teams, um mit ihnen Probleme diskutieren zu können.” Bislang hätten die wenigsten Projekte auch nur eine dieser Maßnahmen ergriffen.