Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
Op e n So u r c e 12 | w w w c o m p u t e r - a u t o m a t i o n d e · 0 8 -2 2 Der laxe Umgang mit der Security Mitte Dezember 2021 wurde in der Java-Bibliothek Log4j die Schwachstelle „Log4Shell“ entdeckt Ein Vorfall der am Image von Open Source nagt Wie ist Schadensbegrenzung bei der Verwendung von Open Source möglich? Die Java-Bibliothek Log4j ist sehr weit verbreitet Systemadministratoren und Programmierer auf der ganzen Welt binden die Bibliothek aufgrund ihrer Funktionalität in Rechenzentren Unternehmensserver Netzwerktechnologien und Systemkomponenten ein Die Sicherheitslücke Log4Shell war zu Beginn besonders leicht auszunutzen Einmal im System konnten Angreifer beliebigen Programmcode ausführen Schadsoftware nachladen oder Daten stehlen Im Endeffekt führte dies zur potenziellen Verwundbarkeit von global mehreren Milliarden Computern Die Log4Shell-Schwachstelle führt erwartungsgemäß zu einem vorhersehbaren Ergebnis Führungskräfte und Regierungen sind zunehmend besorgt wenn der Begriff Open Source fällt Den meisten von ihnen ist nicht unbedingt bewusst dass ein Großteil der Software die sie erfolgreich verwenden nicht von kommerziellen Anbietern sondern von Freiwilligen entwickelt wird Inzwischen kommt selbst bei einigen der kritischsten Systemen Open-Source-Software zum Einsatz Was es allerdings häufig in Unternehmen nicht gibt ist eine Liste sämtlicher Open-Source-Software respektive aller verwendeten Komponenten Schwerwiegende Vorfälle aus der Vergangenheit wie HeartBleed Dirty Cow und die Erfahrungen mit Apache Struts und dem daraus resultierenden Datenschutzvorfall bei Equifax haben zu Überprüfungen seitens staatlicher Stellen geführt Nicht selten sollen dann die „schlechten“ Open-Source-Komponenten in diesem Fall log4j durch eine vermeintlich sicherere Alternative ersetzt werden Bei all diesen Szenarien wird ein Aspekt von Open-Source-Software in unserer modernen Gesellschaft aber gerne und häufig übersehen Open Source genießt sehr hohes Vertrauen So hoch dass sie in manchen Unternehmen frei heruntergeladen und verwendet werden darf wie sie ist und zwar ohne nennenswerte Sicherheitsüberprüfungen Oder anders herum formuliert Eine aus dem Internet heruntergeladene Software wird selten so überprüft wie die selbst entwickelte Software Sie zweifeln daran? Fragen Sie sich wer in einem Unternehmen Docker oder libxml oder auch eine Open-Source-Datenbank auf die etliche Anwendungen angewiesen sind auf Sicherheitsprobleme hin überprüft hat Und selbst wenn Höchstwahrscheinlich gab es nur einen einzigen Prüfdurchgang und der wird kaum bei jedem Update wiederholt werden Dies ist durchaus ein starker Vertrauensbeweis für Open Source Die Software Supply Chain Die Gründe sich für Open-Source-Technologien zu entscheiden sind vielfältig können aber in drei Hauptbereiche unterschieden werden • Erstens verzichtet Open-Source-Software oftmals auf eine Lizenzgebühr Das ist schon allein deshalb attraktiv weil man sich nicht mit Budgetfreigaben oder Nachprüfungen bei der Vergabe herumschlagen muss • Zweitens ist es sehr wahrscheinlich dass die betreffende Open-Source-Technologie von einem Experten für genau dieses Gebiet entwickelt worden ist Würde man so einen Experten intern beschäftigen wollen würde das komplex oder teuer von Lucas v Stockhausen Bild vectorfusionart – adobe stock com