Ist Open Source doch unsicher?

Die Open-Source-Sicherheitsstudie kommt zu dem Ergebnis, dass sich viele Unternehmen einem großen und unnötigen Risiko aussetzen. In der von Fortify, einem Spezialisten für sichere Software, beauftragten Studie wurden exemplarisch die elf am häufigsten in Unternehmen eingesetzten quelloffenen Java-Anwendungen auf ihre Sicherheit getestet. Dazu zählen beispielsweise die Application-Server Tomcat und JBoss, das Framework Struts, die Datenbank Derby und die Content-Management-Software OpenCMS. Gleichzeitig wurden auch die Entwicklungsprozesse und die Information der Anwender über Sicherheitsaspekte bewertet.

Das Ergebnis ist ernüchternd. Die gefundenen Lücken erlauben in den schlimmsten Fällen Angriffsmethoden wie Cross-Site-Scripting (XSS) oder SQL Injection. Die Programmierteams der offenen Software lassen nicht selten sichere Entwicklungsprozesse vermissen und machen keinen Gebrauch von vorhandenen, ebenfalls quelloffenen Tools, die bei der Suche nach Bugs und Lücken wertvolle Dienste leisten könnten. Gefährliche Sicherheitslücken bleiben oft ungepatcht. Die Anzahl der gefundenen Bedrohungen blieb in allen außer einem Projekt über mehrere Releases hinweg konstant oder erhöhte sich sogar noch. Sicherheitshinweise und Anleitungen für das sichere Aufsetzen und Betreiben der Open-Source-Anwendungen fehlen bei den meisten Projekten, ebenso wie ein einfacher Weg - beispielsweise eine spezielle E-Mail-Adresse - um Sicherheitslücken zu melden.