In der Open Source Security Studie hat das Unternehmen Fortify Software mehrere Projekte in verschiedenen Versionen unter die Lupe genommen. Das ernüchternde Ergebnis: 22.828 Cross-Site-Scripting-Lecks und 15.612 Möglichkeiten für SQL-Injektions haben die Sicherheitsexperten entdeckt. Meist gehe die Zahl der Fehler mit neuen Generationen nicht zurück.
Am deutlichsten zeige sich das an dem Projekt ‘Hipergate’. So wurden in der Version 2.1.2.0 rund 10.730 Fehler gefunden. In der nachfolgenden Version 3.0.2.6 waren es 14.425 und das obwohl diese Version rund 28.000 Codezeilen weniger hat.
Fortify macht in der Studie fest, dass in vielen Projekten noch kein Prozess für eine sichere Entwicklung eingeführt wurde. Daher würden zahlreiche kritische Fehler nicht behoben. Zudem, so die Fortify-Studie weiter, würden beinahe alle Open-Source-Projekte den Anwendern keinen Zugang zu Sicherheitsrelevanten Informationen gewähren, über die sich diese Fehler, Lecks und Risiken beheben ließen.
Fortify hat auch Vorschläge, wie sich dieses Problem eventuell beheben ließe: “Wir haben uns drei Möglichkeiten überlegt: Eine Dokumentation, in der Sicherheitsfragen und auch sichere Entwicklungen belegt sind; ein eigener E-Mail-Alias, über den Sicherheitsprobleme berichtet werden können oder einen einfachen Zugang zu Sicherheitsexperten des Teams, um mit ihnen Probleme diskutieren zu können.” Bislang hätten die wenigsten Projekte auch nur eine dieser Maßnahmen ergriffen.
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
View Comments
Majos und Janas Blog
Hallo.
Was die Studie verschweigt, ist, dass es z.B. im Windows-System ebenso Fehler gibt, die mitunter jahrelang nicht behoben werden.
Auch finde ich das Ergebnis dieser Studie nicht aussagekräftig. Nimmt man das Projekt "Hipergate" raus, halbieren sich schon die Fehlerzahlen.
Mario Große
Hat mich nicht überzeugt
Was Mario Große noch vergessen hat ist, dass Fehler in Microsoft-Systemen dazu oft auch noch verschwiegen werden.
Was ich nicht nachvollziehen kann ist, dass in OpenSource-Produkten kein Zugang zu den sicherheitsrelevanten Teilen bestehen soll. Offener als Code-Offen geht meiner Meinung nach nicht.
Also für mich alles nicht überzeugend.
Kritikfähigkeit
Liebe OSS-Anhänger,
werdet erwachsen! Dazu gehört auch, dass man Kritik annimmt und ein wenig Selbstkritik übt.
Ihr habt alle Chancen etwas besser zu machen - nutzt sie!
Dieses Projekt ist wirklich nicht repräsentativ
Ich schließe mich dem Vorvorredner an: Hipergate scheint einfach der letzte Müll zu sein. Wenn man die Seite "What is hipergate?" anwählt, steht doch da tatsächlich: "All applications are addresses from Internet Explorer." Uuuarrgh! Da frickeln wohl ein paar Softwarebastler herum, die auch sonst nicht viel Ahnung haben.
Natürlich hat der Vorredner recht: Kritik muss man annehmen und versuchen, es besser zu machen. Aber eine solche Müllsoftware ist eben nicht repräsentativ für OSS und deswegen kann man aus der Kritik an Hipergate rein gar nichts lernen.