Fortune-500-Unternehmen verwenden löchriges Open Source
Eine groß angelegte Studie erkennt gravierende Sicherheitsmängel in quelloffenen Technologien, die aber auch bei den ganz großen Unternehmen genutzt werden. Der gute allgemeine Ruf quelloffener Software täuscht über manche Schwachstelle hinweg.
Über 50 Prozent der weltweit größten Unternehmen verwenden zahlreiche Open-Source-Komponenten , Sicherheitsbibliotheken und Web-Frameworks einsetzen, die sicherheitsrelevante Schwachstellen enthalten. Laut einer gemeinsamen Studie von Sonatype und Aspect Security kommen diese Komponenten bei Fortune-500-Unternehmen zum Einsatz, die deraus eigene Softwareanwendungen entwickeln. Insgesamt enthalten angeblich sogar über 80 Prozent aller firmenintern entwickelten Anwendungen anfällige Komponenten und Frameworks.
Die Studie basiert auf einer Umfrage, die unter 2.550 Entwicklern, Softwarearchitekten und Analysten durchgeführt wurde. Sie kommt zum Schluss, der gute Ruf von Open-Source-Software verleite zur Annahme, sie sei durchweg von hoher und gleichbleibender Qualität. Das führe dazu, “Mängel im Ökosystem zu übersehen”. Insbesondere erreichten die Entwickler keine regelmäßigen Mitteilungen über Schwachstellen und neue Versionen, mit denen Fehler behoben wurden.
“80 Prozent des Codes in heutigen Anwendungen stammt aus Bibliotheken und Frameworks”, schreibt Aspect-CEO Jeff Williams. “Das Risiko von Schwachstellen in diesen Komponenten wird weitgehend ignoriert und unterschätzt.” Der Bericht geht von 46 Millionen Downloads unsicherer Versionen der beliebtesten Open-Source-Bibliotheken und -Frameworks aus, zu denen Google Web Toolkit, Spring MVC, Strutz 1.x und Hibernate gehören. Bei den populären Komponenten sei es nur 10 Prozent weniger wahrscheinlich als bei weniger beliebten, dass sie Schwachstellen enthalten.
“Da mehr als 80 Prozent typischer Softwareanwendungen Open-Source-Komponenten und -Frameworks in binärer Form einsetzen, sind die Ergebnisse dieser Untersuchung ein Weckruf für fast jede Organisation, die Software für geschäftskritische Abläufe entwickelt”, argumentiert Aspect Security, das ein Gründungsmitglied des Open Web Application Security Project ist. Das an der Studie beteiligte Sonatype bietet den Nexus Intelligent Repository Manager für die Verwaltung von Softwarekomponenten an und wollte damit offenbar dessen Vorteile herausstellen.
Einige führende Open-Source-Entwickler haben andere Einschätzungen, was die Ergebnisse der Studie angeht . “Die Zahlen überraschen mich nicht”, sagt Mark Thomas vom Apache Tomcat Project Management Committee. “Zweifellos gibt es Organisationen, die weiterhin mit angreifbarer Software (Open wie Closed Source) arbeiten, ohne das zu erkennen. Ich glaube nicht, dass es sich dabei um ein spezifisches Problem von Open Source handelt ‒ noch dass Open Source hier besser oder schlechter ist im Vergleich zu Closed Source.”
Andrew Aitken, Gründer der Olliance Group, bemängelt “den Ton der Studie”, indem nahegelegt werde, Open Source sei von geringerer Qualität und riskanter. Viele Studien hätten aber die meist höhere Qualität von quelloffener Software bewiesen. Er wies auf die Ergebnisse des 2010 Coverity Scan Open Source Integrity Report hin, der auf einer Analyse von 280 Open-Source-Projekten einschließlich Linux, Apache, Firefox, Samba, PostgreSQL, OpenVPN und mehr basierte. Demnach konnte Open-Source-Software mit einer weit geringeren Mängelrate im Vergleich zum Branchendurchschnitt überzeugen.
[mit Material von Paula Rooney, ZDNet.com]