:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/66/186655e9134fe3b945da166b7feb7135/0111465990.jpeg "Ziel sollte bei B2B-Anwendungen sein, dass die User Experience genauso überzeugt wie bei B2C-Apps. (© BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/c7/97c7a05ac5a646694120d027dcc042fa/0111573077.jpeg "Dank einiger Tools kann jeder selbst testen, ob die eigene Website auch wirklich DSGVO-konform ist. (Bild: © – fotohansel – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/d7/ddd7f2c4859b85a8b1688f38e3092085/0111289633.jpeg "Code-Fragmente machen das Programmieren deutlich effizienter. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/fe/ad/fead485d5a58bf88def0f18c26dd44f5/0110853381.jpeg "Neben gewissen Hard und Soft Skills ist es wichtig, dass Developer ihre eigene Nische finden. (Bild: <a href=https://www.pexels.com/@punttim/>Tim Gouw</a>)")
:quality(80)/p7i.vogel.de/wcms/08/c5/08c570a57a8bcb6c8de7662e3ea3ecaf/0112066693.jpeg "Das Open-Source-Projekt Git 2.41 umfasst neue Funktionen und Fehlerkorrekturen von über 95 Mitwirkenden. (Bild: Git)")
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/22/37/2237e6f7da0afd0bc9660071e5772dbb/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/89/2e899f48fe0ae3adc502ac74b23b81ee/0111867208.jpeg "Als Teil der Backstage.io-Community stellt Red Hat die eigens für den Developer Hub entwickelten Plug-ins für alle bereit. (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/35/403577de25d85c367070cfa293d57e17/0110619848.jpeg "Deno soll gegenüber Node.js einige Vorteile bergen, darunter den der Schnelligkeit. (Bild: Deno)")
:quality(80)/p7i.vogel.de/wcms/64/e5/64e5bb62907eb2ef143867915a18f8c1/0112124486.jpeg "MariaDB hat SkySQL aktualisiert und unter anderem eine überarbeitete Benutzeroberfläche eingeführt. (Bild: MariaDB)")
:quality(80)/p7i.vogel.de/wcms/40/18/40184bac910298fe72a917898cd3721d/0111883486.jpeg "Warum die Programmiersprache Java so erfolgreich ist, verrät ein genauer Blick auf die Historie. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/52/01/5201560a889ec559b10fd1fa267d3e42/0112103983.jpeg "Das „monday dev“-Toolkit erweitert die Work-OS-Plattform um Tools für agiles Arbeiten. (Bild: Monday.com)")
:quality(80)/p7i.vogel.de/wcms/d7/5d/d75dd4e7e5614676caa077f8959c7931/0111672406.jpeg "Typischer ereignisgesteuerter IT-Automatisierungsprozess (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/47/95/47956b35ff608be7a8bbfe6bdc0522de/0111105620.jpeg "Laut einer aktuellen Progress-Studie bereiten Datenverzerrungen deutschen Unternehmen immer noch Kopfzerbrechen. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Vor- und Nachteil von Open-Source-Software in puncto Sicherheit Wann quelloffene Software zum Risiko wird
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Open-Source-Software überzeugt branchenübergreifend unterschiedliche Anwendergruppen, die Prozesse oder Infrastrukturen wirtschaftlich sinnvoll, agil, innovativ und sicher digital abbilden wollen.Sicherheitsbedenken sind in vielen Fällen unbegründet oder lassen sich mit einer passenden kommerziellen Variante beheben.
Open-Source-Software (OSS) ist unabhängig von einzelnen Anbietern und bietet eine große Komponenten-Auswahl, offene Standards und somit die Kompatibilität zu wichtigen Tools. Sie hat im Vergleich zu proprietären Anbietern, geringere Betriebskosten. Zudem eröffnet sich Unternehmen durch solche Applikationen ein schnellerer und besserer Zugang zu Innovationen. Diese und andere Argumente überzeugen zwei Drittel der Betriebe in Deutschland, denn sie setzen laut einer Bitkom-Studie bereits OSS ein.
Die Befragung liefert weitere interessante Details: So sehen neun Prozent der Studienteilnehmer einen Sicherheitsvorteil in den Updates, die bei OSS in kurzen Zyklen zur Verfügung stehen. Sieben Prozent der Befragten haben hingegen Sicherheitsbedenken und vier Prozent benennen Sicherheitslücken als Nachteil. Dieser vermeintliche Widerspruch lässt sich lösen, wobei die kurze Antwort lautet: Oftmals fehlen Wissen und Fachkräfte, um das volle Potenzial von frei verfügbarer Software auszuschöpfen. Dennoch können Unternehmen auch mit geringeren Kapazitäten Open Source gewinnbringend nutzen. Das wird verständlich, wenn man zunächst betrachtet, was OSS ausmacht.
Offen für die Sharing Economy?
Bei OSS ist der Quellcode offen und frei verfügbar. Eine Firma erhält so eine Vorlage, um eigene Applikationen nach ihren Vorstellungen preiswert und zügig zu entwickeln. Sie profitiert vom Wissen der Community, da in der Regel tausende Entwickler hinter einem Softwareprojekt stehen und dieses ständig verbessern. Dazu muss der Quellcode lediglich auf einer Plattform wie GitHub veröffentlicht sein. Zur freien Verfügung steht der Quellcode auch dann noch, wenn sich für eine der folgenden Versionen die Lizenzbestimmungen ändern sollten.
Das Open-Source-Konzept basiert auf dem Prinzip der Sharing Economy – also Nehmen und Geben. Das kann sowohl ein finanzieller Beitrag als auch ein Beitrag in Form einer technischen Verbesserung sein – etwa indem sich eine Firma in der Community engagiert, an der Weiterentwicklung der Software mitwirkt oder selbst wieder Codes einstellt. Wer dagegen Open-Source-Quellcode für eigene, kommerzielle Zwecke einsetzt, ohne dafür eine Gegenleistung zu erbringen, verstößt gegen die Prinzipien der Sharing Economy.
Systemimmanente Selbstkontrolle
Offene Quellen machen Software anfällig für Manipulationen, könnte argumentieren, wer Sicherheitsbedenken hat. Diese Einschätzung ist jedoch falsch. Die Transparenz von OSS minimiert das Risiko massiv, dass jemand Schadcode in die Software einfügt. Denn die Schwarmintelligenz einer Community ist Hersteller-Teams mit einer begrenzten Personenanzahl in der Regel voraus und entdeckt Schwachstellen schneller und zuverlässiger. Zudem kann die Entwicklergemeinschaft in kurzen Intervallen Updates und Patches bereitstellt, sodass sich Sicherheitslücken schnell schließen lassen. Darüber hinaus wird Open-Source-Code im Wissen seiner Öffentlichkeit produziert, was die Motivation der Beteiligten erhöht, hier mit besonderem Blick auf Qualität zu agieren.
Proprietäre Software hingegen hat neben der Abhängigkeit von einem Hersteller eben diesen entscheidenden Nachteil: Ihr Quellcode lässt sich nicht kontinuierlich einsehen. Was während des Betriebs im Hintergrund läuft, erfährt ein Nutzer nicht, auch wenn es sicherheitsrelevante Aspekte betrifft. Der dauerhafte Zugriff ist deswegen so wichtig, da sich so Expertise auch außerhalb eines einzigen Herstellerunternehmens entwickeln kann. Das ist dringend erforderlich, wenn eine Lösung geprüft werden soll.
Wann die quelloffene Software zum Risiko wird
Erreicht OSS einen hohen Reifegrad, nimmt gelegentlich die Schwarmintelligenz ab, die das Produkt absichert. Dies kann auch bei häufig genutzten Komponenten der Fall sein und tritt natürlich auch bei proprietären Lösungen vergleichbar auf. Hier hilft es, wenn kommerzielle OSS-Hersteller auch diese Komponenten im Auge behalten.
Ein weiteres Sicherheitsrisiko kann sich zudem auf Anwenderseite entwickeln: Wie jedes andere kritische Produktionsmittel auch, müssen auch Open-Source-Komponenten gemanagt werden. Verantwortliche im Unternehmen müssen technische Entwicklungen und Community-Aktivitäten im Blick behalten. Das wiederum setzt voraus, dass genügend Fachkräfte mit spezieller Expertise im Unternehmen arbeiten – doch diese sind quer durch die Branche Mangelware. Außerdem müssen diese Fachkräfte auch die Zeit bekommen, sich vertieft mit der Thematik auseinanderzusetzen. Es ist schwierig, hier hinterher zu kommen, Updates und Patches aufzuspielen und Kompatibilitäten sicherzustellen. Fast jede IT-Abteilung braucht hier guten Herstellersupport.
Die Bedarfslücke sicher schließen
Kommerzielle Open-Source-Angebote schließen diese Bedarfslücke. Sie aggregieren OS-Komponenten zu Produkten, und bieten eigene Open-Source-Lösungen als Enterprise-Versionen an, die Gewährleistung und professionellen Support mit Updates und Patches umfassen und deren Leistungen sich über SLAs und Subskriptionen regeln lassen. Solche Produkte sind einfach installiert und laufen stabil. In dieser Konstellation gewinnen nutzende Unternehmen die Sicherheit einer OSS, ohne selbst den nötigen Aufwand betreiben zu müssen.
Den Sicherheitsvorteil von OSS umsetzen
Der Einsatz von Software ist immer mit einem Risiko verbunden. Im Fall von OSS steigt dieses jedoch unnötig, wenn ein nutzendes Unternehmen intern nicht über genug Personal und Expertise verfügt. In diesem Moment verliert eine OSS-Community-Lösung Sicherheitsvorteile gegenüber proprietärer Software. Denn haben die Inhouse-Experten keine Zeit, oder fehlt die lösungsspezifische Expertise, nützt auch Schwarmintelligenz, Selbstkontrolle und Agilität nichts. Um ein vertretbares Sicherheitsniveau zu erreichen, sollten Unternehmen daher dort auf kommerzielle Open-Source-Varianten setzen, wo keine eigenen Experten verfügbar sind. Hier hilft die ehrliche Selbsteinschätzung, was allein gestemmt werden kann und was sicherer und zuverlässiger von Open-Source-Herstellern beschafft werden sollte.
Über den Autor: Elmar Geese ist Chief Operating Officer (COO) im Management-Team von Greenbone Networks, Spezialist für Schwachstellenanalyse von IT-Netzwerken. Sein Fokus liegt auf Strategie, Prozessoptimierung und Controlling, damit der Mehrwert der Greenbone-Produkte noch besser beim Kunden ankommt. Dabei schöpft er aus einem IT-Erfahrungsschatz von drei Jahrzehnten als Gründer, Manager und Berater.
(ID:47413287)
:quality(80)/images.vogel.de/vogelonline/bdb/1932800/1932808/original.jpg "Mehr als 2,6 Milliarden Lines of Code haben die Audit-Fachkräfte von Revenera für den „State of the Software Supply Chain“-Report ausgewertet. (Revenera)")
:quality(80)/images.vogel.de/vogelonline/bdb/1955100/1955110/original.jpg "Open-Source-Komponenten werden nahezu überall und in jeder Branche eingesetzt, heißt es im OSSRA 2022 Report. (Synospys)")