Moin!

mich beschäftigt eine Frage: Es werden des öfteren Behauptungen aufgestellt, dass Open Source-Software sicherer sei, als kommerzielle Produkte.

Diese Behauptung ist nur aufgrund theoretischer Überlegungen natürlich nicht fundiert.

Da stellt sich mir die Frage, wie kann das sein? Bei Open-Source programmiert jeder mit... jeder könnte sich ein Hintertürchen einbauen. Jeder hat Einblick in den Quellcode und sieht daher direkt, falls es Schwachstellen geben sollte und kann diese gezielt nutzen.

Richtig. Du vergißt aber, dass die Leute, die reinschauen und die Kompetenz habe, eine Sicherheitslücke zu entdecken, vermutlich viel eher dazu tendieren, diese Lücke den Entwicklern auch mitzuteilen.

Darüber hinaus: Es ist wesentlich einfacher, eine mögliche Sicherheitslücke durch Analyse des Codes zu entdecken, als die so entdeckte Lücke tatsächlich für böse Sachen auszunutzen. Das erfordert nochmal wesentlich mehr Wissen.

Bei kommerzieller Software kennt keiner den Quellcode... die Suche, wo eine Sicherheitslücke ist, bleibt ein Ratespielchen.

Dennoch werden Sicherheitslücken in Closed-Source-Software gefunden. Das Geheimhalten hilft also nicht.

Und das Problem bei Closed-Source ist, dass Updates, die die Lücke schließen, in der Regel ziemlich lange auf sich warten lassen. Open-Source ist bei sowas in der Regel wesentlich schneller.

Daher müsste kommerzielle Software doch sicherer sein, da im Gegensatz zu Open-Source die "Bauanleitung" (der Quellcode) zur Umgehung von Sicherheitstechniken nicht direkt mitgliefert wird...?

Kenntnis des Quellcodes hilft, ist aber nicht notwendig. Im Gegenteil: Trotz Kenntnis des Quellcodes ist der Apache Webserver anerkanntermaßen schon lange Zeit sehr sicher. Der Microsoft IIS hingegen hat immer mal wieder Sicherheitsprobleme. Das dürfte doch nach deiner Definition gar nicht sein, oder?

- Sven Rautenberg