Frage der Woche: Sicherheit und Zuverlässigkeit von Open Source-Software (Teil 2)
Wir haben noch zwei Nachzügler zu unsere Frage der letzten Woche. Hier nehmen die Eyeo GmbH (Adblock Plus) und Liferay zu der Open Source-Thematik Stellung.
“Generell bietet ein Open-Source Produkt durch seinen frei-einsehbaren Code vergleichbar viel Transparenz hinsichtlich seiner Funktionsweise und seiner Bestandteile”, erklärt Till Faida, CEO und Mitgründer der Eyeo GmbH. “Es gibt jedem die Möglichkeit, die Zusammensetzung und Funktionsweise zu prüfen und einzuschätzen.
Die von Ihnen genannten Probleme bezüglich bestehender Open-Source-Produkte sind nicht auf die Tatsache zurückzuführen, dass sie Open-Source sind. Vielmehr liegt das an unzureichenden Ressourcen und dem Fehlen externer Prüfungen. Dies wurde besonders im Falle von OpenSSL deutlich, bei welchem trotz enormer Popularität Spenden nicht ausreichen, um das Projekt zu finanzieren und ausreichend prüfen zu lassen.
Besonders bei sicherheitsrelevanter Software oder Programmen, die mit sensiblen Daten zu tun haben, ist es wichtig zu wissen, was das Programm beinhaltet und macht. Dies liegt etwa bei proprietären Lösung im Unklaren. Daher denken wir, dass das Argument hinfällig ist und es ebenso keine Rolle spielt, ob die Identität der Macher bekannt ist oder nicht. Denn egal wer der Koch hinter dem Rezept ist, wenn ich das Rezept einsehen und überprüfen kann und beim Selberbacken das gleiche Ergebnis rauskommt, der Kuchen schmeckt dadurch nicht anders.”
“Schon mit der freien Community Edition des Liferay Enterprise Portals profitieren Anwender vom öffentlichen Liferay Security Board, der Quelltextoffenheit oder der Wahl des Technologie-Stacks”, so Armin Dahncke, Principal Consultant bei Liferay in Deutschland und Mitglied des Liferay Security Boards. “Die kommerzielle Enterprise Subskription bietet zusätzlich SLAs für Ticket Resolution Time, Patches und Dienstleistungen wie Security Audits. Diese Sicherheit ist dank des Open Source Modells realisierbar.”
[subscribe2]
