Studie: Open Source stellt Sicherheitsrisiko für Firmen dar

Die meisten im Enterprise-Bereich verbreiteten Open-Source-Pakete bringen ihren Anwendern signifikante und unnötige Risiken. Zu diesem Schluss gelangt der Sicherheitsspezialist Fortify mit seiner „Open Source Security Study“, die das Unternehmen jetzt veröffentlicht hat. Der Studie zufolge sind Entwicklungsprozesse bei Open-Source-Software (OSS) oft unsicher. Außerdem würden „fast alle OSS-Communities“ Nutzern kaum bei der Behebung von Fehlern und Sicherheitsrisiken helfen.

Basis für den Report bildet eine Analyse von elf quelloffenen Java-Paketen durch den Anwendungssicherheitsspezialisten Larry Suto. „Die getestete Auswahl ist mit wenigen Anwendungen, noch dazu allesamt in Java, sehr begrenzt“, kritisiert Bernhard Reiter, Deutschland-Koordinator der Free Software Foundation Europe (FSFE). Eine Schlussfolgerung hinsichtlich der Sicherheit von freier Software im allgemeinen könne daraus nicht gezogen werden.

„Es wird der Anschein erweckt, dass freie Software unsicher ist“, beanstandet Reiter. Dabei sei das Sample klein und lege den Fokus auf Entwickler-Communities, statt auf professionelle kommerzielle Open-Source-Anbieter. Dabei sei im Rahmen der Studie mit JBoss ein Paket berücksichtigt worden, hinter dem mit Red Hat ein großer kommerzieller OSS-Anbieter stehe – und genau bei diesem Paket habe Fortify auch vergleichsweise wenige Fehler gefunden.

Mit dem statischen Analysewerkzeug Fortify SCA wurden im Quellcode der jeweils aktuellsten Paket-Versionen mit insgesamt über vier Millionen Codezeilen mehr als 40.000 Fehler gefunden – ein beachtlicher Wert. Allerdings fehlt Reiter der Vergleich zu nicht freier Software. „So ein Test der Quellcodes wäre für proprietäre Software gar nicht möglich“, sagt er. Ohne den direkten Vergleich sei nicht bewiesen, dass proprietäre Software sicherer sei.