Die Geheimnisse der Open-Source-Sicherheit

Der hohe Verbreitungsgrad, den das Betriebssystem Microsoft Windows für Desktopanwendungen und der Internet Explorer als Webbrowser besitzen, wird oftmals als Grund für die hohe Anzahl an entdeckten Schwachstellen und Exploits angeführt. Natürlich ist diese Argumentation nicht ganz unbegründet. So trifft es sicherlich zu, dass bei proprietärer Closed-Source-Software das Interesse der Verfasser von bösartigen Codes und sonstigen unerwünschten Codes mit dem Grad der Verbreitung der Programme steigt. Nimmt man aber ein ganz neues Entwicklungsmodell, bei dem gerade der Verbreitungsgrad eine entscheidende Rolle spielt, sieht die Sache schon ganz anders aus.

Die Einstiegshürden für die Verwendung von Open Source-Software sind sehr niedrig. Oftmals ist die Software sogar umsonst zu haben. Im Zeitalter einer zunehmenden Vernetzung fallen für den Installierenden für ein neues Betriebssystem gerade mal die Kosten einer beschreibbaren CD-ROM und der Download-Zeit an. Je nach Installationsmethode kann man sich sogar die Kosten für die CD sparen.

Diese Benutzerfreundlichkeit von Open-Source-Software führt zu einem hohen Verbreitungsgrad und gewinnt auch neue Entwickler für Open-Source-Projekte. Folglich steigt nicht nur Anzahl der Benutzer, sondern auch die der Programmierer, die sich für das Projekt interessieren. Die Entwickler der Open-Source-Software werden einfach aus der Benutzerschar rekrutiert. Darüber hinaus nutzt Open-Source-Software auch das gelegentliche Interesse von Programmierern, denen zwar die Zeit fehlt um sich dem Entwicklungsteam anzuschließen, die aber immer mal ein paar Minuten übrig haben, um nach Schwachstellen oder sonstigen Bugs zu suchen und diese zu beheben.

Daher ist die Anzahl der Personen, die sich bei einem beliebten Open Source-Programm mit dessen Schwachstellen und sonstigen Bugs sowie deren Behebung beschäftigt, im Verhältnis zu der begrenzten Anzahl von Entwicklern bei Closed-Source-Software überproportional hoch. Und diese Anzahl nimmt mit steigender Benutzerzahl weiter zu. Dabei ist die Anzahl derer, die in böswilliger Absicht nach Schwachstellen suchen, gegenüber denjenigen Benutzern, die Sicherheitslücken schließen wollen, verschwindend gering. Und selbst wenn die betreffenden Benutzer die Fehler nicht selbst beheben können, werden diese veröffentlicht, so dass andere Benutzer einen entsprechenden Code erstellen.

Die Auswirkungen dieser Praktiken werden besonders deutlich, wenn man an die schnellste beurkundete Patch-Bereitstellung für eine Schwachstelle von Microsoft denkt. Nach dem öffentlichen Bekanntwerden der Schwachstelle Anfang des Jahres dauerte es nach Angaben der Leiterin des Microsoft Security Response Center, Debby Fry Wilson, ungefähr 9 bis 10 Tage, bis das WMF Library Patch bereitgestellt war. Die Mozilla Foundation erstellt, testet und veröffentlicht hingegen Patches für den Webbrowser Mozilla Firefox in weniger als einer Woche. Die Patch-Bereitstellungszeiten für den Linux-Kernel werden sogar in Stunden statt in Tagen bemessen.

Dies ist vor allem auf die Verteilung des Arbeitsaufwands zum Testen der Patches zurückzuführen. Denn wie Debby Fry Wilson im Zusammenhang mit der raschen Veröffentlichung des WMF-Patches erklärte, beansprucht das Testen der Patches und nicht deren Entwicklung die meiste Zeit. Closed-Source-Software kann eben einfach nicht mithalten, wenn es um die Möglichkeit geht, breit angelegte Tests durchzuführen oder sogar Lösungen für beim Testen aufgetretene Probleme von den Testern selbst zu erhalten. Die Open Source-Community kann eben Tausende von Testern anstelle von bestenfalls einem Dutzend Testern in einem Unternehmen aufbieten.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Public Cloud: Gartner erwartet 2025 weltweite Ausgaben von 723 Milliarden Dollar

Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.

7 Tagen ago

iPhone 15 ist bestverkauftes Smartphone im dritten Quartal

Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…

7 Tagen ago

So günstig & effizient war Content Produktion noch nie: Neues Content System erobert deutschen Markt

Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…

7 Tagen ago

Lenovo übertrifft die Erwartungen und hebt Prognose an

KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…

1 Woche ago

Bedrohungsakteure betten Malware in macOS-Flutter-Anwendungen ein

Googles App-Entwickler-Kit dient der Tarnung des schädlichen Codes. Der Sicherheitsanbieter Jamf hält die Schadsoftware für…

1 Woche ago

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Wochen ago