Wenn Menschen Software-Entscheidungen treffen, steht Sicherheit oft ganz oben auf ihrer Prioritätenliste. Und wenn nicht, sollte es so sein! Sie wundern sich jedoch normalerweise über die Unterschiede zwischen geschlossener und Open-Source-Software.
Was ist also der Unterschied zwischen Open- und Closed-Source? Ist Open-Source-Software wirklich sicher?
Open-Source vs. Closed-Source-Software
Menschen machen Open-Source-Software für jedermann frei verfügbar. Die Öffentlichkeit kann es verwenden, kopieren, ändern und weitergeben. Außerdem kann, wie der Name schon sagt, jeder den Quellcode sehen.
Closed-Source-Software bietet streng geschützten Code, den nur autorisierte Personen sehen oder ändern können. Die Kosten decken das Nutzungsrecht der Benutzer ab, jedoch nur im Rahmen der Lizenzvereinbarung für den Endbenutzer.
Open-Source-Sichtbarkeit hat Sicherheitsvor- und -nachteile
Die Möglichkeit, den Quellcode für jedermann einzusehen, bringt große Vorteile für die Open-Source-Sicherheit. Entwicklung wird zu einer Gemeinschaftsleistung, an der sich Menschen aus der ganzen Welt beteiligen.
Das bedeutet, dass Fehler oft schneller erkannt und behoben werden, als wenn nur eine viel kleinere Gruppe von Personen den Code untersucht hätte.
Allerdings Hacker Profitieren Sie von der Barrierefreiheit auch von Open-Source-Code. Sie könnten damit Angriffe planen oder Schwachstellen zur Kenntnis nehmen.
Entwickler, die ein echtes Interesse an der Verbesserung von Open-Source-Software haben, gehen die gefundenen Probleme an oder melden die Probleme zumindest jemandem, der die Fähigkeiten hat, sie zu lösen. Wer böswillige Absichten hat, hofft, dass die Dinge so lange wie möglich unbemerkt bleiben.
Diese Realitäten veranlassen Cybersicherheitsexperten zu warnen, dass Open-Source-Software Unternehmen gefährden kann. Ein Problem ist, dass Kriminelle den Code sehen und gefährliche Inhalte in ihn einschleusen könnten. Alternativ könnten diese Parteien Unternehmen ins Visier nehmen die keine strengen Praktiken haben zum Herunterladen von Software-Patches mit ausreichender Häufigkeit.
Da Open-Source-Software keine zentrale Autorität hat, die sie verwaltet, ist es für jeden schwer zu wissen, welche Versionen am häufigsten verwendet werden. Titel können so häufig aktualisiert werden, dass die IT-Teams eines Unternehmens nicht erkennen, dass sie über eine alte Version mit schwerwiegenden Sicherheitsproblemen verfügen.
Softwarebibliotheken von Drittanbietern stellen Open-Source-Sicherheitsrisiken dar Risk
Entwickler verwenden häufig Softwarebibliotheken von Drittanbietern, um Zeit zu sparen. Sie sind wiederverwendbare Komponenten, die von einer anderen Entität als dem ursprünglichen Anbieter entwickelt wurden. Ein Vorteil ist, dass sie die Verwendung von vorab getestetem Code ermöglichen.
Beliebte Bibliotheken werden in zahlreichen Umgebungen für eine Vielzahl von Anwendungsfällen getestet. Aufgrund der natürlichen Nutzungshäufigkeit werden Fehler häufig gemeldet. Dies bedeutet jedoch nicht unbedingt, dass Softwarebibliotheken von Drittanbietern eine überlegene Sicherheit bieten, selbst wenn es um Open-Source-Software geht.
Eine Studie fanden heraus, dass in fast 80 Prozent der Fälle Drittanbieterbibliotheken für Open-Source-Software nicht aktualisiert werden, nachdem Entwickler sie zu Codebasen hinzugefügt haben. Die an der Studie beteiligten Forscher warnten davor, dass das Fehlen von Updates Folgewirkungen haben könnte.
Einige der neuesten und weit verbreiteten Softwaretitel verlassen sich während der Entwicklung auf Softwarebibliotheken von Drittanbietern. Ein Fehler könnte alle Produkte betreffen, die mit einer problematischen Bibliothek verbunden sind. Ein weiteres besorgniserregendes Ergebnis ist, dass mehr als ein Viertel der befragten Entwickler keinen formalen Prozess zur Auswahl von Bibliotheken von Drittanbietern kennen oder sich nicht sicher waren.
Verbunden: Was ist ein Zero-Day-Exploit und wie funktionieren Angriffe?
Ein positives Fazit der Studie war jedoch, dass Software-Updates 92 Prozent der Fehler in Softwarebibliotheken von Drittanbietern beheben. Darüber hinaus erfordern 69 Prozent der Updates nur eine geringfügige Versionsänderung oder etwas noch weniger Umfangreiches.
Noch vielversprechender war, dass Entwickler 17 Prozent dieser Fehler in einer Stunde beheben konnten. Das bedeutet, dass die Behandlung dieser Open-Source-Bibliotheksprobleme nicht immer extrem zeitintensiv oder kompliziert ist.
Wie sich die Geschwindigkeit der Fehlerbehebung auf die Open-Source-Sicherheit auswirkt
Einer der Hauptprobleme mit veralteter Software besteht darin, dass Benutzer dem Risiko potenzieller Sicherheitslücken ausgesetzt sind. In einer idealen Welt würden Entwickler alle Fehler bemerken und beheben, bevor die Software die Öffentlichkeit erreicht. Das ist jedoch ein unrealistisches Ziel.
Die zweitbeste Option besteht darin, Software-Patches zu veröffentlichen, sobald Schwachstellen sichtbar werden. Sicherheitsforscher warnen Anbieter von Closed-Source-Software häufig auf Probleme, die schnell behoben werden müssen. Die Leute, die diese Produkte entwickeln, folgen jedoch den von Vorgesetzten gewählten Release-Zeitplänen.
Entscheidungsträger priorisieren auch nicht immer alle Schwachstellen. Einige bleiben nach der ersten Identifizierung noch Monate oder Jahre lang unadressiert. Ein damit verbundenes Problem ist, dass viele Entwickler mit übermäßigen oder unausgeglichenen Arbeitslasten zu kämpfen haben, die ihre Fähigkeit, Fehler schnell zu beheben, selbst bei den besten Absichten, stark einschränken können.
Noch eine Umfrage fanden heraus, dass 38 Prozent der Entwickler ein Viertel ihrer verfügbaren Zeit damit verbringen, Softwarefehler zu beheben. Etwa 26 Prozent der Befragten gaben an, dass die Aufgabe die Hälfte ihrer Arbeitstage in Anspruch nimmt. Ein weiteres aufschlussreiches Ergebnis war, dass 32 Prozent der Entwickler bis zu 10 Stunden pro Woche damit verbringen, Fehler zu beheben, anstatt Code zu schreiben.
Entwickler treffen zahlreiche Vorkehrungen, um die Veröffentlichung von problematischem Code zu vermeiden. Zum Beispiel Abdeckung von Blaue Wache besprochen, wie eine Sandbox-Datenbank eine Spiegelversion der Produktionsumgebung und alle aktuellen Änderungen des Bereitstellungszyklus liefert.
Webentwicklungsprofis können Dinge lernen und testen, ohne dass schwerwiegende nachteilige Folgen für das gesamte Team entstehen. Aber Fehler passieren immer noch.
Da bei Open-Source-Software ganze Entwicklergemeinschaften daran arbeiten, sie zu verbessern, gibt es einen hohen Chance, dass jemand mit den richtigen Fähigkeiten und zeitlicher Verfügbarkeit einen Fehler anvisieren und ihn bekommen kann Fest. Das kann bedeuten, dass bekannte Sicherheitslücken nicht so lange unbehandelt bleiben wie bei einem Closed-Source-Softwaretitel.
Softwareabhängigkeiten bestehen, wenn ein Betriebssystem von einem anderen abhängig ist, um zu funktionieren. Wenn es um Open-Source-Software geht, macht es das schnelle Änderungstempo für Entwickler oft schwierig zu verstehen, ob ihre Abhängigkeiten veraltete Versionen betreffen.
Google hat jedoch kürzlich ein webbasiertes Visualisierungstool namens. veröffentlicht Open-Source-Einblicke um dieses Problem anzugehen. Es gibt dem Benutzer einen Überblick über die zu einem Softwarepaket gehörenden Komponenten.
Da die Informationen Details zu Abhängigkeiten und deren Eigenschaften enthalten, erhalten Entwickler eine klarere Vorstellung davon, ob veraltete Open-Source-Software später Probleme verursachen könnte.
Neben der Betrachtung von Abhängigkeitsdiagrammen können Benutzer ein Vergleichstool verwenden, das zeigt, wie sich verschiedene Paketversionen auf Abhängigkeiten auswirken können. Manchmal behebt ein neueres ein Sicherheitsproblem. Mit diesem Tool möchte Google Entwicklern den Umgang mit Open-Source-Software erleichtern.
Dieses neue Wissen könnte die Sicherheit und die allgemeine Benutzerfreundlichkeit verbessern.
Open-Source-Software: Keine vollständige Sicherheitslösung
Diese Übersicht zeigt, warum Open-Source-Software im Vergleich zu Closed-Source-Software nicht immer die sicherste Wahl ist. Nichtsdestotrotz gibt es auch viele gute Dinge an Open-Source-Software.
Personen, die beabsichtigen, es aus persönlichen Gründen oder innerhalb ihrer Organisationen zu verwenden, sollten die Vor- und Nachteile abwägen, um eine Entscheidung zu treffen.
Suchen Sie nach kostenlosen Open-Source-Apps für Windows? Hier sind einige der besten Software, die Sie installieren können.
Weiter lesen
- Sicherheit
- Online-Sicherheit
- Open Source
Shannon ist ein Content Creator mit Sitz in Philadelphia, PA. Sie schreibt seit etwa 5 Jahren im technischen Bereich, nachdem sie ihren Abschluss in IT gemacht hat. Shannon ist Managing Editor des ReHack Magazine und behandelt Themen wie Cybersicherheit, Gaming und Business-Technologie.
Abonnieren Sie unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Noch ein Schritt…!
Bitte bestätigen Sie Ihre E-Mail-Adresse in der E-Mail, die wir Ihnen gerade gesendet haben.