• IT-Karriere:
  • Services:

Open Source: Niemand hat die Absicht, Sicherheitslücken zu schließen

Einer Umfrage der Linux Foundation zufolge wollen alle bessere Security. Daran arbeiten will aber keiner.

Ein IMHO von veröffentlicht am
Viele OSS-Entwickler verschließen vor der Security-Arbeit lieber die Augen.
Viele OSS-Entwickler verschließen vor der Security-Arbeit lieber die Augen. (Bild: Pixabay)

Mit einer Umfrage unter Beitragenden zu Open-Source-Projekten wollte die Linux Foundation unter anderem herausfinden, wie es um deren Sicherheit bestellt ist. Die Ergebnisse bestätigen erneut einen ebenso erschreckenden wie deprimierenden Eindruck: Zwar ist den meisten Beteiligten klar, dass es mehr Anstrengungen im Bereich der Software-Security geben muss. Die dafür notwendige Bereitschaft und Zeit können oder wollen die Befragten aber nicht aufbringen. Die Linux-Foundation hat dafür die Antwort von mehr als 1.800 Beitragenden ausgewertet, die unter anderem über E-Mails an die Projekt-Mailing-Listen zur Teilnahme aufgefordert wurden.

Stellenmarkt
  1. MACH AG, Lübeck, Berlin
  2. über duerenhoff GmbH, Frankfurt am Main

Laut der Befragung wird schon jetzt vergleichsweise sehr wenig Zeit in die Sicherheit der Open-Source-Projekte gesteckt. Demnach räumen die Befragten im Schnitt nur rund 2,3 Prozent ihrer Zeit an dem Projekt der Bearbeitung von gemeldeten Sicherheitsproblemen ein. Bei einem Acht-Stunden-Tag sind das nur rund elf Minuten oder eben nicht mal eine Stunde pro Woche. Darüber hinaus heißt es in der Studie: "Die Befragten gaben an, nicht den Wunsch zu haben, dies zu erhöhen". Angesichts der Fülle an Sicherheitslücken scheint die angegebene Zeit wenig realistisch, um in dieser zeitnah alle Lücken zu beheben.

Im Kopf trotzige Kinder statt Entwickler

Angesichts der immer stärker werdenden Abhängigkeit der gesamten Gesellschaft von IT-Systemen sind solche Aussagen sehr besorgniserregend und eigentlich nur mit einer sehr kindischen Null-Bock-Einstellung vieler Entwickler zu erklären, die sich schlicht nicht um Security kümmern wollen. Dieser völlig unangebrachte Trotz zeigt sich auch in einigen Antworten, die in der Umfrage zitiert werden.

Dort heißt es etwa: "Ich finde das Unterfangen der Security eine seelenverderbende Aufgabe und ein Thema, das am besten den Anwälten und Prozessfreaks überlassen bleibt." Oder: "Ich finde Security ein unerträglich langweiliges Verfahrenshindernis." Hier reicht mein Sarkasmus nicht mehr aus, um das irgendwie einzuordnen. Ich bin einfach nur noch wütend. Software zu entwickeln, hat einfach nichts mit Selbstverwirklichung zu tun, auch wenn sich das immer noch zu viele Entwickler einreden, wie sich etwa in diesen Aussagen zeigt. Software sollte bestenfalls Menschen helfen, produktiv zu sein und nicht leichtsinnig Menschen gefährden, nur weil das Bearbeiten von Sicherheitslücken zu langweilig ist.

Mit etwas zu viel Wohlwollen ließe sich immerhin noch zugutehalten, dass es ja allen selbst überlassen sein sollte, wie sie ihre Zeit verbringen - vor allem als Hobby in Open-Source-Projekten. Nur ist das eine völlig veraltete und verklärte Weltsicht. Denn Betreuer und regelmäßig zu Open-Source-Projekten Beitragende werden für eben diese Aufgaben in den meisten Fällen bezahlt - auch das zeigt die Umfrage.

Und selbst wenn es keine Bezahlung dafür geben sollte, ist es völlig unverständlich, wie einem die Sicherheit eines Projekts und der Nutzer so dermaßen egal sein kann, dass das nicht viel mehr Wert ist als ein Schulterzucken. Solche Entwickler sollten ihre Tätigkeit einfach sein lassen und sich ein Hobby zur Selbstverwirklichung suchen, das niemandem schadet außer ihnen selbst. Eine Sportart vielleicht oder Heimwerken.

Frustration entfacht dann erst recht der Schluss der Autoren der Linux Foundation. Diese halten es für unwahrscheinlich, "dass Bemühungen, die darauf abzielen, die Zeit, die Mitwirkende für die Sicherheit aufwenden, drastisch zu erhöhen, von vielen bestehenden OSS-Mitwirkenden begrüßt werden. Insbesondere wenn die Entwickler erhebliche neue Schritte ausführen müssen". Ja, Software-Security ist anstrengend, das ist doch aber noch lange kein Grund, das nicht zu machen.

Wunschkonzert der Security

Völlig absurd sind die Ergebnisse der Umfrage, die zeigen, dass sich die Befragten ein Outsourcing der Security-Aufgaben wünschen. Offenbar wissen doch alle nur gut genug, wie wichtig es eigentlich ist, sich um das Security-Thema zu kümmern. Der dabei am meisten geäußerte Wunsch sind Beiträge zu den Projekten, die Fehler und Sicherheitslücken beheben.

Selbst keinen Bock auf die Arbeit haben, aber anderen sagen, dass sie sich bitte darum bemühen sollten - das ist einfach nicht miteinander in Einklang zu bringen. Also außer natürlich mit einer arroganten Überheblichkeit, die Security eben als nicht ganz so wichtig oder irgendwie nachrangig einordnet, was die Antworten ja auch zeigen.

Tatsächlich äußern die Befragten auch weitere nachvollziehbare Wünsche, die in Bezug auf die Security vieler Projekte sicher sinnvoll wären. Dazu gehören eine bessere finanzielle Ausstattung der Projekte, CI-Pipelines oder auch Security-Audits. Doch auch diese Arbeit muss schließlich irgendwer übernehmen und die Resultate dann betreuen und auswerten.

Das haben natürlich inzwischen auch jene Unternehmen erkannt, die starke wirtschaftliche Abhängigkeiten zur Sicherheit von Open-Source-Software haben und finanzieren entsprechende Initiativen wie die Core Infrastructure Initiative oder die OpenSSF.

Diese Arbeiten sind zwar extrem wichtig und helfen garantiert einigen Open-Source-Projekten unmittelbar weiter. Solange sich aber die grundlegende Einstellung vieler Entwickler zur Security-Arbeit nicht ändert, sind all diese Bemühungen kein großer Wurf, sondern eben nur Kosmetik für das zugrundeliegende Problem, dass Software-Security nicht ernst genug genommen wird. Zum Schaden der Nutzer.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. mit Rabattcode "PKAUFEN"
  2. (u. a. Battlefield- & Star-Wars-Spiele von EA günstiger (u. a. Star Wars Battlefront 2 für 7...
  3. (u. a. Fortnite - The Last Laugh Bundle DLC (PS4 Download Code) für 19,90€, ARK: Survival...

JouMxyzptlk 16. Dez 2020

Input: Video mit Untertitel und diversen Audiosupren in HDR/10 bit, und Wasserzeichen...

FreiGeistler 16. Dez 2020

Puh, wo kommt diese verquere Weltsicht her? Ist ja nicht so, als ob das Individuen...

FreiGeistler 15. Dez 2020

Wegen so was muss man m.E. auch nicht den Code verwüsten. Ausser in Hochrisiko-Software.

kaesekuchen 15. Dez 2020

+1000 Danke!

wurstdings 15. Dez 2020

Klar die Software ist kostenlos, das Bugfixing nicht unbedingt. Außerdem, bedeutet freie...


Folgen Sie uns
       


Samsung Galaxy S21 Ultra vorgestellt

Das Galaxy S21 Ultra ist das Topmodell von Samsungs neuer S21-Reihe und unterscheidet sich deutlich von den beiden anderen Modellen.

Samsung Galaxy S21 Ultra vorgestellt Video aufrufen
    •  /