Studie gibt Denkanstoß für Sicherheitsdiskussion Open Source vs. proprietär – ist die Trennung obsolet?

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

OSB Alliance Open Source Business Alliance e.V.

Was ist sicherer, Open-Source-Software, kurz OSS, oder proprietäre Anwendungen? Eine aktuelle Studie des Instituts für Informatik der Rheinischen Friedrich-Wilhelms-Universität in Bonn, in Auftrag gegeben von der OSB Alliance und geleitet von Dr. Marc Ohm, fordert neue Perspektiven in dieser Diskussion.

Der Autor des Forschungspapiers „Studie zum Vergleich der Sicherheit von Open-Source-Software und proprietärer Software“ kritisiert eine bislang eher dualistisch geprägte Diskussion. Eine klare Trennung zwischen OSS und proprietärer Software ergebe aber immer weniger Sinn. Denn während OSS zunehmend an Bedeutung gewinne, enthalte proprietäre Software immer häufiger große Anteile von Open Source Code.

Die Studie plädiert dafür, dass unabhängig vom Entwicklungsmodell die gleichen Sicherheitsstandards für beide Software-Arten angewendet werden sollten. Elmar Geese, Sprecher der Arbeitsgruppe Security in der OSB Alliance, kommentiert: „Quelloffenheit und kollaborative Entwicklungsmodelle tragen dazu bei, Software sicherer zu machen. Aber das reicht natürlich nicht aus. Mit unserer Studie wollen wir Impulse setzen, um diese Lücke zu schließen.“ Geese sieht vor allem die kommerziellen Verwerter von Software in der Pflicht.

Inhaltlich untersucht die Studie allgemeine Fragestellung der Softwaresicherheit unabhängig vom Entwicklungsansatz. Es wird diskutiert, ob ein Entwicklungsansatz – Open Source oder proprietär – inhärent sicherer sein kann als der andere. Der Autor leitet dies in verschiedenen Kapiteln her:

Zunächst geht er auf die Unterscheidbarkeit von Open Source und proprietärer Software ein. Die Studie stellt die charakteristischen Eigenschaften von Open Source und proprietärer Software vor und diskutiert diese. Dr. Ohm hat die Vor- und Nachteile beider Ansätze untersucht und enthüllt vorhandene Synergien. Da Open-Source-Komponenten immer häufiger in proprietärer Software auftauchen, fragt der Autor, ob einer der beiden Entwicklungsansätze von Natur aus sicherer ist und ob sie sinnvoll für Sicherheitsbetrachtungen unterschieden werden können.

Best Practices und Tools vorgestellt

Im nächsten Bereich geht es um Best Practices für sichere Softwareentwicklung. Dabei geht die Studie der Frage nach, wie ein hohes Maß an Sicherheit während der Softwareentwicklung erreicht werden kann. Nützliche Empfehlungen für die Organisation von Projekten, für die Software-Lieferkette und für Developer dürfen da natürlich nicht fehlen, ebenso nennt der Autor wichtige Tools. Das Papier fasst existierende Best Practices zur sicheren Softwareentwicklung zusammen und diskutiert ihre Anwendung auf beide Entwicklungsansätze. Das Ziel ist, Empfehlungen zu geben, wie trotz der Unmöglichkeit absoluter Sicherheit ein möglichst sicheres Produkt entstehen kann.

Qualitätsmetriken für Softwareprojekte spielen im nächsten Kapitel des Papiers eine Rolle. Hier geht Dr. Ohm darauf ein, wie die Qualität eines Softwareprojekts bestimmt werden kann. Dazu werden bestehende Metrik-Kataloge geprüft und eine Auswahl von quantitativen und qualitativen Metriken vorgestellt. Die Absicht ist es, eine Methode bereitzustellen, mit der die Auswahl einer bestimmten Software oder Softwarekomponente gerechtfertigt werden kann, indem eine Abschätzung der Qualität und damit indirekt der „Vertrauenswürdigkeit“ erfolgt.

In seinem Fazit unterstreicht Ohm die Wichtigkeit der Anstrengungen zur Sicherheitsverbesserung in der Softwareentwicklung, unabhängig davon, ob das Entwicklungsmodell Open Source oder proprietär ist. Dabei betont die Studie die Rolle der Unternehmen, die hinter der Software stehen, als entscheidende Akteure für die Verbesserung der Sicherheit. Dennoch bleibe immer ein Restrisiko, das nur bei Open Source Software unabhängig messbar ist.

(ID:49625020)