Open Source ist unsicher ...
Irgendwie war ja klar, dass der erste grosse Fehler in einer Open-Source-Software die Closed-Source-Befürworter hervorholt, die marktschreierisch rufen, dass Open-Source-Software unsicher sei.
Das ist Quatsch!
Open-Source-Software ist nicht sicherer oder unsicherer als Close-Source-Software. Punkt. Open-Source-Software ermöglicht es aber, solche Fehler, wie den, der bei Heartbleed gemacht wurde, zu finden. Und nach Fehlern kann nicht nur von den Herstellern der Software, sondern auch auch von Fremden - auch von potentiellen Angreifern - gesucht werden. Genau das geht bei Closed-Source-Software eben nicht.
Dass eine Software Open Source ist, ist eine notwendige, aber keine hinreichende Bedingung dafür, dass man einer Software Vertrauen schenken darf. Für Freie Software gilt genau das gleiche.
Was nun passieren muss, ist, dass nicht alle darauf vertrauen, dass Open-Source-Software "schon irgendwie" von anderen geprüft wird, sondern es müssen aktive Audits stattfinden. Prinzipiell erwarte ich insbesondere von Firmen, die Open-Source-Software einsetzen, dass sie sich - mit Manpower oder finanziell - an solchen Audits beteiligen. Der gefundene Bug macht klar, dass wir nicht darauf vertrauen sollten, "dass es schon jemand anderes macht".
Mir würde es gut gefallen, wenn sich eine Organisation gründen würde, die Spenden entgegen nimmt und solche Audits durchführt. Eventuell liesse sich auch ein Crowdfunding durchführen.
Ach, ja, den Kritikern, die denken, dass Open-Source-Software nur von Amateuren programmiert wird, sei der Beitrag Kritiker zweifeln an der Zuverlässigkeit vom Deutschlandfunk empfohlen.
Das ist Quatsch!
Open-Source-Software ist nicht sicherer oder unsicherer als Close-Source-Software. Punkt. Open-Source-Software ermöglicht es aber, solche Fehler, wie den, der bei Heartbleed gemacht wurde, zu finden. Und nach Fehlern kann nicht nur von den Herstellern der Software, sondern auch auch von Fremden - auch von potentiellen Angreifern - gesucht werden. Genau das geht bei Closed-Source-Software eben nicht.
Dass eine Software Open Source ist, ist eine notwendige, aber keine hinreichende Bedingung dafür, dass man einer Software Vertrauen schenken darf. Für Freie Software gilt genau das gleiche.
Was nun passieren muss, ist, dass nicht alle darauf vertrauen, dass Open-Source-Software "schon irgendwie" von anderen geprüft wird, sondern es müssen aktive Audits stattfinden. Prinzipiell erwarte ich insbesondere von Firmen, die Open-Source-Software einsetzen, dass sie sich - mit Manpower oder finanziell - an solchen Audits beteiligen. Der gefundene Bug macht klar, dass wir nicht darauf vertrauen sollten, "dass es schon jemand anderes macht".
Mir würde es gut gefallen, wenn sich eine Organisation gründen würde, die Spenden entgegen nimmt und solche Audits durchführt. Eventuell liesse sich auch ein Crowdfunding durchführen.
Ach, ja, den Kritikern, die denken, dass Open-Source-Software nur von Amateuren programmiert wird, sei der Beitrag Kritiker zweifeln an der Zuverlässigkeit vom Deutschlandfunk empfohlen.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Jens Link am :
Das Problem bei "Open-Source ist sicherer weil der Code auditiert werden kann" ist der Glaube daran, dass das auch jemand macht.
Gerade bei den großen Projekten ist der Code wohl so komplex, dass es nur wenige Leute gibt die diesen (nach langer Einarbeitung) auch verstehen können. Das ist bei Closed-Soruce aber sicher auch nicht besser.
Dirk Deimeke am :
Bei OSS ist nur das potentielle Publikum grösser.
tux. am :
Hm, ähm, ja, das dauert dann halt schon mal über 20 Jahre (etwa bei Xorg).
Closed Source (etwa Windows) hat den großen Vorteil, dass da meist reichlich Kapital für anständige QS (Auditing) drinsteckt. Das einzige Open-Source-Projekt, das das auch tut, ist offenbar OpenBSD (und die haben immerhin auch eine zahlungskräftige "Foundation", die jetzt mit dem OpenSSL-Fork LibreSSL noch mal einen deutlichen Zuwachs an Spenden einfahren dürfte). Das ist ein bisschen schade.
Stefan Betz am :
Vielen verbinden OSS automatisch mit Sicherheit, dabei bedeutet OSS eben (wie du richtig erklärst) nur das etwas geprüft werden KANN, nicht das dies auch wirklich gemacht wird.
Dee am :
claw am :
Ekkehard am :
NEIN
Grüsse
Dirk Deimeke am :
Am Beispiel Threema kann man sehen, dass Closed-Source-Software nicht per se schon mit "viel Geld vorhanden" gleich zu setzen ist. Das wäre zu kurz gegriffen.
Dirk Deimeke am :
Wir haben das verstanden, es wird Zeit, dass die grössten nutzniessenden Unternehmen, wie beispielsweise Banken und Online-Shops (im Beispiel von OpenSSL), das auch verstehen.
Dirk Deimeke am :
Ich hoffe, es bleibt nicht nur bei der Aussage und es folgen Taten.
Dirk Deimeke am :
Dirk Deimeke am :
Tobi am :
Natürlich heißt das im Gegenzug nicht, dass alle Open Source Projekte automatisch sicherer sind. "Linus' Law" ("With enough eye balls all bugs are shallow", Eric Raymond) funktioniert eben nicht bei jedem Projekt, sondern nur bei solchen, die in der Öffentlichkeit stehen und ein gewisses Maß an Sexyness haben...
Dirk Deimeke am :
Die Frage ist, wie wir diesen Umstand verbessern können.
Professor Matthew Green hat das Open Crypto Audit Project (OCAP) gestartet, das auch den Audit von TrueCrypt bezahlt hat, vielleicht sollte man sich daran hängen.
Ekkehard am :
Ausserdem endet mein Urlaub und ich habe einen Flieger!
Mit anderen Worten: keine Zeit mehr für Blödsinn oder Schabernack.
RotHänselschüchen besteht auch auf altehrwürdig:
"Denk nicht mal 'dran, mir mein Xubuntu..."
Immerhin, das letzte Wort habe ich: Ja,Schatz; nein, bestimmt nicht, Liebes...
gidday Ekkehard
Dirk Deimeke am :