:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/25/2c/252c14a7cc655c7042a5340cf89f6634/0115266124.jpeg "Durch die Integration mit OpenAI werden die bestehenden KI-basierten Fähigkeiten von Parasoft Jtest zur automatischen Generierung von Unit-Tests erweitert. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/9d/63/9d63d4d0333767d38bcfd8586b1cc22b/0115311824.jpeg "Progress hat Release R3 2023 von Progress Telerik und Progress Kendo UI veröffentlicht. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/42/b3/42b36e6473e4cec5e3276d1de9833374/0115255429.jpeg "Schwachstellen mit kritischem oder hohem Schweregrad sind laut Synopsys weniger wahrscheinlich geworden. (Bild: <a href=https://pixabay.com/illustrations/cyber-security-internet-security-1923446/>Darwin Laganzon</a>)")
:quality(80)/p7i.vogel.de/wcms/98/4c/984c13b55df0ad02a970332d4d8f3aee/0115070151.jpeg "Beispiel einer User Journey. (Bild: Grammarly)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf0c6b696fffdd88adcb5610cdc8c27/0115235498.jpeg "Beim Einsatz von generativer KI lauern eine Security- und Compliance-Risiken, mit denen man sich auseinandersetzen sollte. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/f9/a3/f9a30aab66a2bf745dd9c677c6548fd7/0115396059.jpeg "„Beware the App Generation“, titelt Cisco AppDynamics in seiner aktuellen Studie, denn diese urteilt schnell und erbarmungslos über schlechte Anwendungen. (Bild: <a href=https://unsplash.com/@zana_qaradaghy>Zana Latif</a>)")
:quality(80)/p7i.vogel.de/wcms/1b/05/1b05a6297b2a816d61ef53c5a274bff2/0115206676.jpeg "Eine Pythonschlange am Computer – okay, sie hat Hände, aber wie sollte sie auch sonst effizient tippen? (Bild: StableDiffusionXL)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/54/cd/54cda8ed648ddd8c02cadbb63dad78e5/0115243203.jpeg "RAD Studio 12 Athens unterstützt iOS 17, Android 13 und macOS Ventura, Ubuntu 22 LTS und Windows Server 2023. (Bild: Embarcadero)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3c1969a5faf8fd032f4b56ccad311/0114861996.jpeg "Full-Stack-Developer beherrschen Front-end- und Back-end-Entwicklung ebenso wie adminsitrative und analytische Tätigkeiten. (Bild: <a href=lakexyde>lakexyde</a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Metastudie zur Sicherheit von Software – Stand 2023 Proprietäre vs. Open-Source-Software
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Quelloffener oder geschlossener Code – was bringt mehr Sicherheit? Eine aktuelle Metastudie der Open Source Business Alliance gibt Antworten, nimmt der Ausgangsfrage aber schon eingangs ihre Relevanz.
Die Open Source Business Alliance (OSBA) hat kürzlich eine interessante Studie unter dem Titel „Studie zum Vergleich der Sicherheit von Open-Source-Software und proprietärer Software“ veröffentlicht (Dev-Insider berichtete). Die OSBA-Auftragsarbeit wurde an der Rheinischen Friedrich-Wilhelms-Universität Bonn erarbeitet.
Bezüglich des Konkurrenzkampfs der beiden Modelle kommt die Studie gleich zu Beginn zu einer interessanten Erkenntnis: „Heute gibt es diesen Dualismus nicht mehr […]“. Und doch wird sich am Ende eine gewisse Präferenz von Open Source abzeichnen. Die Studie teilt sich in drei große Bereiche: Der Vergleich der beiden Entwicklungsmodelle, Best Practices für die Entwicklung sowie Qualitätsmetriken für die Beurteilung von Projekten.
Vergleich der Modelle
Open-Source-Software auf der einen, proprietäre Anwendungen auf der andern Seite – lange Zeit scheinbar unvereinbare Gegensätze, die sich feindlich gegenüberstanden. Und so beginnt die Studie auch damit, zunächst beide Lager auf dieser Basis miteinander zu vergleichen, wohl wissend, dass es sich bei vielen traditionellen Argumenten für das eine oder andere Lager um Meinungen, Bauchgefühle, subjektive Urteile handelt.
So sieht die OSBA-Metastudie in den untersuchten Quellen etwa die üblichen Argumente pro Open Source, wie zum Beispiel schnellere Behebung von Bugs, eigene Bug-Fixes, die generelle Transparenz oder erhöhte digitale Souveränität und somit geringere Gefahren für Vendor-Lock-ins. Auf der anderen Seite scheinen auch die altbekannten Argumente gegen Open Source sehr lebendig, beispielsweise Tendenzen zu schlechtem/fehlendem Support oder dürftiger Dokumentation.
Für proprietäre Software spräche nach wie vor, dass Änderungen am Code nicht von jedermann, sondern nur von autorisierten Personen durchgeführt werden können, rechtliche Sicherheit und planbare Kosten für Support, Anpassungen und so weiter. Dazu werden einige konkrete Kontroversen aufgegriffen.
Bezüglich der Kosten sei zum Beispiel festzuhalten, dass Kostenersparnis zwar bei Open-Source-Nutzern hoch im Kurs stehen, die tatsächlichen Lifecycle-Kosten jedoch durchaus ebenbürtig ausfallen können, durch nötiges Personal, Individualisierungen, Schulungen etc.
Bezüglich der Einstellung von Projekten wird vermerkt, dass auch Open-Source-Projekte eingestellt, dann jedoch gegebenenfalls übernommen oder geforkt und weitergeführt werden können. Als wichtiger Aspekt zur Mitigation werden aber vor allem offene Standards erwähnt, die eine Übernahme in andere Produkte ermöglichen/vereinfachen.
Vor- und Nachteile von Transparenz
Hier soll es aber vor allem um die Sicherheit gehen. Open-Source-Kritiker bemängelten stets insbesondere, dass in frei verfügbarem Code Änderungen von Unbekannten gemacht werden könnten. Dem wird entgegengestellt, dass die eigentlichen Entwickler bei proprietärer Software generell unbekannt seien. Und, dass Empfehlungen zur Qualitätssicherung für Open-Source-Projekte ebenso gelten würden.
Sogar darüber hinaus wurde offen liegender Code seit jeher dafür kritisiert, dass jeder Angreifer nach potenziellen Schwachstellen Ausschau halten könne. Auch hier legt die Studie dar, dass die Möglichkeit des Quellstudiums viel eher dazu führt, dass Fehler und Probleme gefunden werden.
Der wirklich interessante Punkt, der hier aufgeworfen wird, ist aber ein anderer: „Ohne Einblick in den Quelltext kann die Sicherheit einer Software niemals sichergestellt werden.“ Abseits von zertifizierungsrelevanten Bereichen seien Sicherheitsversprechen in der Regel lediglich herstellerseitige Selbsterklärungen.
Aufgrund eben dieser Transparenz offener Projekte, „[…] bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI), Open-Source-Software als mindestens genauso sicher wie proprietäre Software.“ Dabei geht es eben nicht um die eigentliche Entwicklung, sondern um die Überprüfbarkeit: „Das Entwicklungsmodell an sich erlaubt keine Aussage über die Sicherheit. Bei Open-Source-Software ist die Implementierung jedoch für jeden prüfbar.“
Diesen Punkt sollte man allerdings ergänzen: In der Praxis werden freilich auch für proprietäre Code-Basen Code-Reviews und -Audits von Dritten durchgeführt, wenn es beispielsweise um Zertifizierungen für den Einsatz in kritischen Bereichen geht. Gegen entsprechende Verschwiegenheitsvereinbarungen wird der Code dann den Auditoren übergeben. Die gleiche Transparenz wie bei Open Source entsteht so natürlich dennoch nicht annähernd – wieder ist (blindes) Vertrauen in die prüfende Einrichtung Voraussetzung.
Unter dem Stichwort „Synergien“ führt der Autor den Leser dann noch zum eingangs zitierten fehlenden Dualismus: Stand heute sei „ […] proprietäre Software zunehmend und in hohem Maße von Open-Source-Software durchdrungen […].“ Typischerweise wird Open Source als Basis genutzt und um Markenkennzeichnungen, eigenes Design, patentierte Funktionen und generell Features ergänzt, die in ihrer Gesamtheit überhaupt erst zu einem Alleinstellungsmerkmal führen. Als Beispiel wird später etwa Chromium aufgeführt, das als Basis für Microsoft Edge und ebenso Google Chromium dient.
Im Grunde kommt die Studie zu dem Schluss, dass sich die Frage nach dem sichereren Entwicklungsmodell im Sinne von „Open source vs. Proprietär“ gar nicht mehr stelle. Greifen wir das Eingangszitat nochmal auf, wird es klar:
„Heute gibt es diesen Dualismus nicht mehr, denn weit über 90% aller Software enthält Open Source - auch die proprietären Produkte. Die Sicherheit von Open Source betrifft daher heute alle Softwarehersteller und Anwender. Wenn wir Sicherheit wollen, müssen wir sie überprüfen können. Auch hier müssen sich alle Softwareprodukte den gleichen Herausforderungen stellen.“
Das Entwicklungsmodell „Open Source“ führt demnach also nicht per se zu sichererer Software – allerdings lässt sich nur deren Sicherheit wirklich prüfen. Bleibt die Frage, wie sich die Qualität inklusive Sicherheit einer offenen Software feststellen lässt.
Best Practices
Im Abschnitt zu den Best Practices führt das OSBA-Papier vor allem einige Projekte auf, die Empfehlungen für den Entwicklungsprozess geben. Zunächst findet hier das Secure Software Development Framework (SSDF) des NIST Erwähnung, ein abstraktes Rahmenwerk, für dessen Umsetzung folgend diverse Werkzeuge empfohlen werden.
Abgestellt wird hier auf die Open Source Security Foundation (OpenSSF) für die Organisation von Projekten, Supply Chain Levels for Software Artifacts (SLSA) für die Absicherung der Supply Chain und den 26-Punkte-Plan für Entwickler „Best Practices for Open Source Developers“ (ebenfalls OpenSSF).
Schlussendlich werden konkrete Tools für eine sichere Entwicklung empfohlen, beispielsweise Detektoren für Authentifizierungsdaten wie Passwörter oder SBOM-Generatoren.
Qualitätsmetriken
Die Feststellung, dass sich die Sicherheit einer Software nicht allein am Entwicklungsmodell festmachen lässt, ist eine Erkenntnis. Im letzten Kapitel zitiert der Autor zunächst kurz einige Studien zum Thema Software-Bewertung und führt anschließend konkrete „Eigenschaften und Messgrößen gesunder Open Source-Projekte und Open Source-Ökosysteme“ auf.
Diese sind dem Paper „Open Source als Innovationstreiber für Industrie 4.0“ der Deutschen Akademie der Technikwissenschaften entnommen. Die Kriterien in aller Kürze: Unter „Vitalität & Lebendigkeit“ fallen Werte wie Anzahl der Commits, Anzahl eingereichter/bearbeiteter Tickets, Menge der Committer, Entwicklungsgeschwindigkeit, Alter des Projekts, Sponsoren und so weiter.
Unter „Strukturiertheit & Qualität“ finden sich qualitative Kriterien wie die Qualität der Dokumentation, das Entwicklungsmodell oder die Gesamtdarstellung der Organisation. Hinzu kommen quantitative Aspekte wie Code-Qualität, durchgeführte Tests, Optimierungen und so weiter.
In der dritten Kategorie „Community & Ökosystem“ geht es um Merkmale wie die Diversität innerhalb des Projekts (etwa bezüglich teilnehmender Nationen und Sprachen), Quantität und Qualität der Kommunikation, Fragen rund um die Lizenzierung und Rahmenbedingungen wie ein Verhaltenskodex, Inklusion oder Führungsstandards.
Abschließend werden drei Tools empfohlen, die bei der Erfassung und Bewertung der aufgeführten Metriken helfen sollen: Fossstars von SAP, Community Health Analytics in Open Source Software (CHAOSS) von der Linux Foundation sowie die OpenSSF Scorecard.
Wir nehmen mit: Die OSBA-Studie kommt insbesondere zu zwei Schlüssen. Zum einen, dass sich die Frage nach Sicherheit kaum nur anhand des Entwicklungsmodells beantworten lässt – und sich in der Form sowieso kaum noch stellt, da proprietäre Produkte meist auch freien Code enthalten. Zum anderen, dass nur Open-Source-Modell die Möglichkeit bietet, Sicherheit wirklich zu überprüfen.
Als tendenziell bestes Modell sieht der Autor übrigens kommerzielle Open-Source-Software, die sowohl mit Transparenz als auch mit rechtlicher Sicherheit und Support auf Herstellerlevel punkten kann.
(ID:49677970)
:quality(80)/p7i.vogel.de/wcms/08/3a/083a39dd4b7c2a3e23a970163a430d97/0112993803.jpeg "Angesichts der aktuellen Entwicklungen steht die Frage, ob quelloffene oder proprietäre Software sicherer ist, nicht mehr zu Debatte. (© Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")