:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Anwendungssicherheit und Sicherheitslücken Open Source vs. Closed Source: Was ist sicherer?
Open Source vs. Closed Source – ein Streit, der von vielen Anwendern mit religiösem Eifer ausgefochten wird. IT-Entscheider denken da pragmatischer: Sie suchen nach Lösungen, die ihrem Unternehmen den größten Nutzen bringen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Beim Abwägen der Vor- und Nachteile von Open Source und proprietärer Software rückt immer häufiger die Sicherheit in den Mittelpunkt. Spektakuläre Hacks haben in den letzten Monaten zu Verunsicherung geführt.
Sind Open-Source-Anwendungen inhärent unsicher, weil jeder den Quellcode einsehen kann? Oder stellt in Wirklichkeit Closed-Source-Software eine Gefahr dar, weil behäbige Entwicklungshäuser Sicherheitslücken oft zu langsam schließen – oder sie gar nicht erst entdecken?
Open Source vs. Closed Source – aus Unternehmenssicht
Open-Source-Plattformen geben Entwicklern die Freiheit, Anwendungen flexibel an die Anforderungen ihres Unternehmens oder ihrer Kunden anzupassen. Neue oder veränderte Erfordernisse des Tagesgeschäfts lassen sich unmittelbar in Programmcode übertragen. Auf diese Weise entstehen Anwendungen, die perfekt zugeschnitten und immer auf der Höhe der Zeit sind. Gerade für innovative Unternehmen ist Open Source deshalb attraktiv. Befürworter offener Software verweisen außerdem auf einen vermeintlichen Vorsprung in Sachen Sicherheit: Weil mehr Entwickler und Teams ein Auge auf den Quellcode haben können, würden Schwachstellen zuverlässiger entdeckt und schneller beseitigt.
Befürworter von Closed-Source-Modellen argumentieren genau umgekehrt. Dass der Quellcode von Anwendungen nicht von jedermann eingesehen werden kann, ist ihrer Ansicht nach ein Vorteil. Denn Cyberkriminelle hätten es auf diese Weise wesentlich schwerer, Sicherheitslücken aufzuspüren. Außerdem halten sie es für sinnvoller, die Weiterentwicklung des Codes in die Hände eines spezialisierten Kernteams zu legen – anstatt sie wie bei vielen Open-Source-Projekten an eine Horde externer Entwickler auszulagern.
Beide Seiten haben gute Argumente, keine hat die Wahrheit für sich gepachtet. IT-Entscheider tun deshalb gut daran, in jedem Einzelfall sorgfältig abzuwägen, welche Lösung sich am besten eignet. Insbesondere sollten sie sich fragen, welche Maßnahmen sie ergreifen müssen, um ein Höchstmaß an Sicherheit zu gewährleisten.
Streitthema Security
Was ist sicherer – Open Source oder Closed Source? Wirft man einen Blick auf die spektakulären Hacks der letzten Monate und Jahre, dann muss konstatiert werden, dass keines der beiden Konzepte besonders gut abschneidet. Als „Heartbleed“ wurde eine Lücke in der quelloffenen Verschlüsselungsbibliothek Open SSL bekannt. Millionen von Webservern waren betroffen, alle Arten von Daten und Anwendungen wurden für Hacker zugänglich. Ähnlich dramatische Effekte hatte eine Sicherheitslücke im proprietären Code von Microsoft Windows, die im November 2014 bekannt wurde. Cyberkriminelle nutzten sie, um die Kreditkarteninformationen von 56 Millionen des amerikanischen Einzelhändlers Home Depot zu stehlen. Microsoft schloss die Lücke erst, nachdem der Hack bekannt wurde. Diese besonders prägnanten Beispiele zeigen, wie gefährdet Unternehmen und Anwender nach wie vor sind.
Veracode hat im laufenden Jahr seinen siebten State of Software Security (SoSS) Report vorgestellt. Basierend auf 300.000 Security-Assessments und weiteren Daten fungiert der Report als eine Bestandsaufnahme aktueller Trends und Standards. Erstmals geht es auch um die Risiken, die durch den Einsatz von Open-Source-Komponenten bei der Anwendungsentwicklung entstehen können.
Open-Source-Komponenten sind in der Anwendungsentwicklung omnipräsent. In den seltensten Fällen ist es für Unternehmen wirtschaftlich sinnvoll, Anwendungen vollständig selbst zu entwickeln, vor allem aber führt es zu zeitlichen Verzögerungen, wenn Entwicklerteams unnötige Extrarunden drehen. Angesichts der Innovationsgeschwindigkeit in vielen Branchen wäre das oft fatal. Es verwundert deshalb nicht, dass Anwendungen heute im Durchschnitt aus 46 Komponenten bestehen.
Obwohl der Einsatz von Open-Source-Komponenten dem Industriestandard entspricht, sind damit doch immense Sicherheitsrisiken verbunden. Die Auswertung von 5.300 Unternehmensanwendungen hat ergeben, dass Komponenten von Drittanbietern im Durchschnitt 24 bekannte Schwachstellen in Web-Anwendungen reißen. Und die unsicheren Komponenten sind nicht etwa nur in Ausnahmefällen im Einsatz, sondern beinahe allgegenwärtig: Eine systematische Untersuchung von Java-Anwendungen ergab, dass 97 Prozent von ihnen mindestens eine Komponente enthalten, die eine oder mehrere Schwachstellen aufweist.
Ein immenses Risiko, das Unternehmen nicht ignorieren dürfen, wenn sie an der Sicherheit ihrer Daten und Anwendungen interessiert sind. Aber müssen sie deshalb auf den Einsatz von Open-Source-Komponenten verzichten? Nein – und sie können es auch gar nicht, wenn sie Entwicklungskosten und -zeiten nicht explodieren lassen wollen. Stattdessen sollten sie sich um mehr Transparenz bemühen: Welche Komponenten setzen wir ein? Sind diese auf dem neuesten Stand? Existieren in den Komponenten bekannte Schwachstellen? Antworten auf diese Fragen müssen bekannt sein, wenn ein Höchstmaß an Sicherheit gewährleistet werden soll.
Fazit
Nicht Open Source oder Closed Source sind der Schlüssel zu mehr Sicherheit, sondern eine Kombination aus proaktiven Maßnahmen und mehr Transparenz. Ob der Quellcode von Drittanbieter-Komponenten proprietär ist oder nicht, spielt keine besondere Rolle. Entscheidend ist viel mehr, ob eine Komponente bekannte Schwachstellen aufweist und ob sie auf dem neuesten Stand ist. Dies lässt sich nicht manuell überprüfen – die Komplexität des Themas und die große Zahl an Komponenten verlangt ein systematisches Vorgehen. Analysetools, die Komponenten von Drittanbietern und den eigenen Code auf Sicherheitslücken untersuchen, schaffen hier Abhilfe.
Über den Autor
Julian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Zudem ist er Autor zahlreicher Artikel, ist regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten des Web Appplication Security Consortium (wie zum Beispiel WAFEC) mitgewirkt.
(ID:44499355)
:quality(80)/p7i.vogel.de/wcms/ff/78/ff78fd294b42f9c2f3b7f6ca2ca1bdc5/0108703700.jpeg "Voraussetzung für den Erfolg dezentralisierter Anwendungen ist eine sicherheitsorientierte Denkweise auf Basis einer durchgängigen DevSecOps-Kultur. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/9b/cb/9bcbc95e77c92dfa47f9089b8bc04169/0106418544.jpeg "Lena Smart, MongoDB: „SBOMs werden zu einem unverzichtbaren Baustein für die Softwaresicherheit und das kollaborative Risikomanagement in der Software-Wertschöpfungskette werden.“ (Bild: MongoDB)")