Laut einer Studie der amerikanischen IT-Sicherheitsfirma Fortify bringen die meisten im Enterprise-Bereich verbreiteten Open-Source-Pakete Risiken für die Anwender mit sich. Gegen diese Einschätzung verwahren sich allerdings Vertreter des Open-Source-Lagers.

In ihrer »Open Source Security Study« bemängelt Fortify unter anderem, dass Entwicklungsprozesse bei Open-Source-Software (OSS) häufig unsicher sind. Ein weiterer Kritikpunkt: Sicherheitslücken werden, wenn überhaupt, zu spät geschlossen.

Das Unternehmen ließ im Rahmen der Studie elf Java-Pakete durch den Sicherheitsspezialisten Larry Suto analysieren. Zudem wurden die Programme mithilfe der »SCA«-Scan-Software von Fortify auf Schwachstellen hin überprüft.

»Die getestete Auswahl ist mit wenigen Anwendungen, noch dazu allesamt in Java, sehr begrenzt«, kritisierte Bernhard Reiter, Deutschland-Koordinator der Free Software Foundation Europe (FSFE). »Eine Schlussfolgerung hinsichtlich der Sicherheit von freier Software im Allgemeinen kann daraus nicht gezogen werden.«

Sicherheit kommt im Entwicklungsprozess zu kurz

Fortify bemängelte, dass bei Open-Source-Projekten Verfahren und Techniken, welche die Sicherheit der entwickelten Software sicherstellen können, nur einen niedrigen Stellenwert haben. Programmierfehler und Sicherheitslücken blieben daher oft unbemerkt. Hilfe durch andere Mitglieder der Open-Source-Gemeinde sei so gut nicht zu erwarten.

Dagegen wehrt sich Reiter: »Es wird der Anschein erweckt, dass freie Software unsicher ist. Bei der Untersuchung von Fortify lag der Schwerpunkt jedoch auf Entwickler-Communities statt auf professionellen kommerziellen Open-Source-Anbietern.«

Untersucht wurden ausschließlich Java-Projekte, da diese Programmiersprache laut Fortify weit verbreitet ist. Die Auswahl der elf Pakete sollte repräsentativ für viele Anwendungsbereiche stehen, enthält jedoch fünf Applikationsserver. Daher ist das Test-Sample laut Bernhard Reiter zu stark auf Web-Anwendungen fixiert.

Fortify SCA fand im Quellcode der Pakete mit insgesamt mehr als vier Millionen Zeilen Programmcode über 40.000 Fehler. Allerdings fehlt Reiter der Vergleich zu nicht freier Software: »Eine vergleichbare Analyse des Quellcodes ist bei proprietärer Software gar nicht möglich.« Ohne direkten Vergleich sei aber nicht zu beweisen, dass proprietäre Software sicherer ist.

Einen Vorteil von Open-Source-Programmen gegenüber proprietären Lösungen sieht Reiter durch die Studie bestätigt: »Unabhängige Untersuchungen sind möglich und können von jedem durchgeführt werden«, so der Experte.