Sicherheits-Anbieter Fortify: 20.000 Schwachstellen in elf Open-Source-Programme
Open Source unsicherer als proprietäre Systeme?
Mit seiner jüngsten Untersuchung über die Sicherheit von Open Source ist der Sicherheitsanbieter Fortify in die Schusslinie der Open-Source-Gemeinde geraten. Die Studie analysierte elf der beliebtesten Open-Source-Java-Anwendungen wie zum Beispiel den Apache Tomcat Server, Jboss Application Server, Apache Derby, Hibernate, Hibergate und Open CMS.
Das Ergebnis ist verheerend: 22.828 CSS-Schwachstellen (Cross-Site Scripting) sowie 15.612
SQL-Probleme. Hinzu kommt, dass es praktisch keine Dokumentation über die Sicherheitsrisiken von
Open Source gibt. Weiteres Manko: Auch die neueren Versionen sind nicht sicherer. Hibergate 2.1.2.0
hat laut der Untersuchung 10.734 Schwachstellen, wogegen Hibergate 3.0.2.6 sogar über 14.000
Schwachstellen hat – und das bei 28.000 Programmzeilen weniger.
"Es fehlt an geeigneter Dokumentation der Sicherheitsrisiken und der sicheren Installation sowie
an einer zentralen Anlaufstelle für Sicherheitsprobleme", lautet das Fazit der Untersuchung. Bei
einer weiterhin ansteigenden Open-Source-Nutzung in den Unternehmen stiegen auch die
Sicherheitsrisiken stark an. Laut Gartner wird bis 2011 über 80 Prozent der in den Unternehmen
genutzten Software Open-Source-Bausteine enthalten.
Doch verschiedene Analysten widersprechen dem Eindruck, dass Open Source weniger sicher sei als
proprietäre Software. "Der Report bestätigt nur, dass auch Open Source Schwachstellen hat, damit
befinden sich diese Programme in bester Gesellschaft mit allen anderen Anwendungsprogrammen", so
Nick Selby, Analyst der 451 Group. Trotzdem gesteht er ein, dass die Open-Source-Gemeinde in puncto
Sicherheit aktiver werden muss: "Die Einführung eines Sicherheitsexperten, der ein Vetorecht vor
einer Release-Freigabe hat, ist sicherlich eine gute Idee."
Doch er warnt die CIOs vor einer trügerischen Sicherheit: "Die Software innerhalb eines
Unternehmens ist ein Mix aus Eigenentwicklung, proprietärer Standardsoftware, Open Source und
Outsourcing-Entwicklungen – die meisten Sicherheitsrisiken entstehen erst dadurch, dass es
hausintern niemanden gibt, der das Gesamtrisiko dieser zusammenhängenden Infrastruktur beurteilt",
so Selby.
Die Untersuchung von Fortify ist zudem nicht ohne Eigeninteresse. Das Unternehmen betreibt seit
2006 das Projekt "Java Open Review" (JOR), bei dem Open-Source-Entwickler mithilfe von Fortifys
Source-Code-Scanner ihre Programme auf Schwachstellen analysieren lassen können. Interessanterweise
waren vier der jetzt untersuchten Softwarepakete bereits Teil von JOR (Hibernate, Ofbiz, Struts und
Tomcat). Dies wirft die Frage auf, ob die Entwickler den Review von JOR ignoriert haben oder ob
Fortify die Kriterien inzwischen verändert hat.
Harald Weiss/wg
Lesen Sie mehr zum Thema
