Open Source im professionellen Einsatz
Linux-Magazin 10/2015
© otnaydur, 123RF

© otnaydur, 123RF

Bugs in Open-Source-Komponenten sorgen für Sprengstoff

Gefährlicher Baukasten

Anwendungsentwickler holen sich aus dem Web zahllose Open-Source-Komponenten, darunter leider auch solche, die bekannte Sicherheitsprobleme haben. Daraus entsteht dann ein gefährliches neues Gemisch. Heartbleed lässt grüßen

279

Wird Code von genügend vielen Augen geprüft, lassen sich dadurch alle Bugs ausmerzen, das hat Eric S. Raymond in seinem Aufsatz "The Cathedral and the Bazaar" [1] als Linus Law aufgeschrieben. Der Grundsatz, dass bei ausreichender Prüfung durch eine Vielzahl von Testern und Entwicklern die Fehlersuche effektiver ist als in der geschlossenen Software-Entwicklung, steht außer Zweifel. Problematisch wird aber die Situation, wenn die einst vieläugig geprüfte Software in die Jahre kommt, es neue Sicherheitslücken und Angriffskonzepte gibt und wenn Komponenten ungepatcht bleiben oder neue Versionen erscheinen.

Saure Milch

Das als Hüterin des Central Repository und als Anbieter von Supply Chain Management bekannte Unternehmen Sonatype hat vor einigen Monaten eine Art Brandrede zur Anwendungssicherheit schreiben lassen. Unter dem Titel "Don't Drink Sour Milk, and other Avoidable Risks in the New World of Application Security" [2] bescheinigen die Autoren der derzeit betriebenen Anwendungsentwicklung ein fatales Baukastenprinzip. 90 Prozent einer typischen Anwendung bestehen laut Sonatype aus einer Art Kompilation von Open-Source-Komponenten, die zusammengesteckt seien wie Lego-Steine. Es herrsche inzwischen das Prinzip, Quellcode durch fertige Komponenten zu ersetzen.

Schnelle Zyklen

Es sei bei den vorherrschenden schnellen Releasezyklen klar, dass die unzähligen Komponenten bei der Security nicht mithalten könnten, analysiert Sonatype. Software sei, daher die Anspielung auf saure Milch im Titel des Vortrags, dem Alterungsprozess von Milch unterworfen, sie würde in Hinsicht auf ihre Sicherheit schlicht sauer. Dabei handle es sich nicht um ein Open-Source-Problem, stellt das Unternehmen klar, im Gegenteil: Open-Source-Software stehe essenziell für innovative Produkte und neue Services. Nur das blinde Vertrauen in Open Source sei problematisch. Linus Law mit dem Vielaugenprinzip stoße an technische Grenzen, so Sonatype.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 2 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Einführung

    Die Malware Mumblehard hat Linux-Server in Spamschleudern verwandelt, der Heartbleed-Bug in Open SSL blieb lange unentdeckt: Das Linux-Magazin hat sich in Sachen Sicherheit im Internet der Dinge, bei gehärteten Systemen, im vielbevölkerten Containergewerbe, bei Audits, IDS und Paketbauern umgetan.

  • Analyse: Ungepatchter Open-Source-Code in kommerzieller Software

    Das auf Services und Verwaltung von Open-Source-Software spezialisierte Unternehmen Black Duck Software hat eine Analyse von Open-Source-Bestandteilen in kommerzieller Software vorgenommen. Mit alarmierendem Ergebnis.

  • Openlogic startet Open-Source-Analyse

    Das amerikanische Unternehmen Openlogic will mit einer groß angelegten Erhebung die Verbreitung von Open-Source-Software in Unternehmen erfassen und auswerten

  • Crème de la Linux

    Linux ist ein Gemeinschaftsprodukt. Alle Programmierer, Architekten, Visionäre oder Berichterstatter aufzuzählen, die dazu beigetragen haben, wäre ein unmögliches Unterfangen. Unter den besonders verdienstvollen stechen aber einige Heroen hervor. Hier die 15 einflussreichsten.

  • Volkszählung für Open-Source-Installationen

    Die Firma Openlogic hat mit einigen Kooperationspartnern den Open Source Census gestartet. Die Umfrage im Web soll aussagekräftige Zahlen darüber liefern, welche Open Source Software (OSS) auf Servern und Desktop-Computern tatsächlich im Einsatz ist.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.