Die meiste Open-Source-Software stellt ein Sicherheitsrisiko dar

Laut der von Fortify durchgeführten »Open-Source-Security-Studie« stellen die meisten der gängigen Open-Source-Software-Pakete ein erhebliches und nicht notwendiges Sicherheitsrisiko dar.

Laut des Gutachtens haben die meisten Open-Source-Softwares (OSS) keinen sicheren Entwicklungsprozess durchlaufen und weisen eine Vielzahl von Sicherheitsrelevanten Schwachstellen auf. Außerdem weist die Studie darauf hin, dass fast alle OSS-Communities Usern Zugang zu Sicherheitsrelevanter Expertise gewähren, um die Schwachstellen und damit das Sicherheitsrisiko zu minimieren.

»Open-Source-Software ist heutzutage Business-Alltag. Allerdings sollten die  Konzern-CIOs bei der Auswahl von Open-Source-Alternativen, genauso wie bei kommerzieller Software, eine Schwachstellen-Betrachtung in Ihre Entscheidung miteinfließen lassen«, so Howard A. Schmidt, ehemaliger Cyber Security Advisor des Weißen Hauses. »Die Methoden für den Test und zur Analyse des Software-Codes müssen von den Open-Source-Communities in vollem Umfang durchgeführt werden, damit ein sicherer Entwicklungsprozess gewährleistet ist«.

Die Erhebung, durch Fortify gesponsort und durch den Security Consultant Larry Suto unterstützt, wurde für die 11 meist verbreiteten Java-basierten Open-Source-Pakete durchgeführt. Hierfür wurden verschiedene Versionen jedes Software-Pakets heruntergeladen und nach Schwachstellen mit Fortify’s Security Suite »Fortify 360« durchleuchtet. Die Sicherheitsrelevanten Code-Abschnitte wurden zusätzlich manuell nach Schwachstellen durchsucht.