Neue Open-Source-Unternehmenssicherheitsstudie

Eine Studie der Linux Foundation in Zusammenarbeit mit der Open-Source-Sicherheitsfirma Snyk machte Schlagzeilen in einigen verwandten und nicht so verwandten Medien, um es gelinde auszudrücken, in Bezug auf das Entwicklungsmodell und seine Auswirkungen nicht nur auf die Softwaresicherheit, sondern auch auf Wahrnehmung und Deutung.

Wie bei all diesen Studien basieren die hier enthaltenen Informationen auf einer Reihe von Interviews mit Branchenexperten, insbesondere 550 Entwicklern aus Unternehmen unterschiedlicher Größe, die zu den Sicherheitsrichtlinien befragt wurden, die sie in ihren Unternehmen implementiert haben. in Bezug auf die von ihnen verwendete Open-Source-Software? Wie ist Ihre Wahrnehmung zu diesem Thema?

Alles ist etwas komplizierter, als es auf den ersten Blick scheint: Weniger als die Hälfte (49 %) der Teilnehmer arbeiten in Unternehmen, die keine Sicherheitsrichtlinien für die Entwicklung von Open-Source-Software haben, und in den meisten von ihnen (30 %) dort ist nicht einmal eine Person, die für diesen Bereich verantwortlich ist. Aber ist Open Source nicht so sicher? Worüber sollten Sie sich Sorgen machen?

Der Wahrnehmungsfaktor ist im Bereich Open Source seit jeher sehr relevant aufgrund der inhärenten Eigenschaften des als „Linus‘ Gesetz“ bekannten Modells, interpretiert vom Gründer der Open Source Initiative (OSI) und Autor des klassischen Buches „The Cathedral and the Bazaar, Eric S. Raymond: Mit genügend Augenkäfern kommen sie an die Oberfläche. Dieses „Gesetz“ funktioniert natürlich nur, wenn jemand zuschaut, erinnert euch auf  ZDnet .

Es gibt auch dieses andere „Gesetz“ von Linus, das besagt, dass ein Fehler ein Fehler ist, egal ob er die Sicherheit oder etwas anderes betrifft, obwohl darüber weniger häufig gesprochen wird. Es gilt aber genauso, denn schließlich suchen die meisten Augen in Open-Source-Projekten normalerweise nicht nach Sicherheitslücken.

Wo ist die Wahrnehmung in der Linux Foundation und der Snyk-Forschung? Fast die Hälfte der Befragten (41 %) vertraut Open Source nicht, wenn es um Sicherheit geht, während ein größerer Prozentsatz eine radikal entgegengesetzte Position vertritt und angibt, dass die von ihnen verwendete Open Source sehr oder extrem sicher ist. Worauf stützt sich jede Gruppe, um sich auf die eine oder andere Weise zu positionieren?

Die Wahrheit ist, dass es nicht deutlich gemacht wird, obwohl solche widersprüchlichen Positionen zum Nachdenken anregen. Zunächst einmal sind sie Fachleute, die die Theorie verstehen, wie Open-Source-Softwareentwicklung funktioniert, in der tatsächlich sehende Augen von entscheidender Bedeutung sind. Aber ein Projekt wie der Linux-Kernel, der von vielen großen Unternehmen und Organisationen auf der ganzen Welt verwendet wird, ist nicht dasselbe wie eine spezifische Abhängigkeit davon oder ein viel kleineres Projekt.

Wie dem auch sei, es ist eine Tatsache, dass Open Source von Natur aus eine zusätzliche Sicherheitsebene gegenüber proprietärer Software bietet, ein Maß an Transparenz, das in vielen Fällen sehr hilfreich, in vielen anderen aber auch nachteilig sein kann und unverantwortlich glättet Entscheidungen, um „jemand wird es sehen und beheben“, um sich nicht um das Problem zu kümmern und etwas zu sparen.

Andererseits ist es ebenso wahr, dass dasselbe Open-Source-Ökosystem seit einigen Jahren die Mentalität verändert, indem es sich mehr  auf die am häufigsten verwendeten Komponenten konzentriert ,   mehr tut, um Schwachstellen zu entdecken ,   Verbesserungen zu finanzieren  und  andere Arten von Initiativen  anzuführen die gleiche Richtung. Rund um Linux und die beliebteste Open-Source-Software in der Geschäftswelt hat sich viel getan, und die Früchte davon sind bereits da.

Achtung, zum Weiterlesen scrollen

So wird beispielsweise anerkannt, dass  Linux seine Sicherheitslücken schneller behebt als Apple und Microsoft  , und obwohl es Parteien gibt, die zu Recht behaupten, dass die Anzahl solcher Fehler bei Linux oder Open Source im Allgemeinen viel höher ist, was wahr ist, auch wegen der Transparenz des Modells. Es wird jedoch immer deutlicher, dass Transparenz nicht ausreicht, um ein sicheres Umfeld zu gewährleisten.

Und Tatsache ist, dass Sicherheitslücken in allen Arten von Software alltäglich sind, unabhängig davon, auf welchem ​​Modell sie entwickelt wurde, und obwohl Open Source seine Vorteile hat, ist es nicht frei von den gleichen Problemen, mit denen die Industrie konfrontiert ist. Umgang mit Jahrzehnten: Es ist sehr wichtig, sich Gedanken über die Sicherheit zu machen, ohne sie auf Dritte abzuwälzen.

Die Studie liefert weitere interessante Daten und weist beispielsweise auf Schwachstellen hin, die häufig in der durchschnittlichen Anwendung gefunden werden, die Art der Reaktion oder die Tools, die im Prozess enthalten sind, aber der Schwerpunkt liegt auf der Wahrnehmung die wichtigsten Punkte, auf die es sich zu achten lohnt.

Um die vollständige Studie zu sehen, können Sie diesem Link  (PDF) folgen  .