Open Source: Niemand hat die Absicht, Sicherheitslücken zu schließen

Einer Umfrage der Linux Foundation zufolge wollen alle bessere Security. Daran arbeiten will aber keiner.

Ein IMHO von veröffentlicht am
Viele OSS-Entwickler verschließen vor der Security-Arbeit lieber die Augen.
Viele OSS-Entwickler verschließen vor der Security-Arbeit lieber die Augen. (Bild: Pixabay)

Mit einer Umfrage unter Beitragenden zu Open-Source-Projekten wollte die Linux Foundation unter anderem herausfinden, wie es um deren Sicherheit bestellt ist. Die Ergebnisse bestätigen erneut einen ebenso erschreckenden wie deprimierenden Eindruck: Zwar ist den meisten Beteiligten klar, dass es mehr Anstrengungen im Bereich der Software-Security geben muss. Die dafür notwendige Bereitschaft und Zeit können oder wollen die Befragten aber nicht aufbringen. Die Linux-Foundation hat dafür die Antwort von mehr als 1.800 Beitragenden ausgewertet, die unter anderem über E-Mails an die Projekt-Mailing-Listen zur Teilnahme aufgefordert wurden.

Stellenmarkt
  1. Digital Officer (m/w/d)
    Richter-Helm BioLogics GmbH & Co. KG, Hamburg
  2. Category Development Manager / Space Planning (w/m/d)
    dm-drogerie markt GmbH + Co. KG, Karlsruhe
Detailsuche

Laut der Befragung wird schon jetzt vergleichsweise sehr wenig Zeit in die Sicherheit der Open-Source-Projekte gesteckt. Demnach räumen die Befragten im Schnitt nur rund 2,3 Prozent ihrer Zeit an dem Projekt der Bearbeitung von gemeldeten Sicherheitsproblemen ein. Bei einem Acht-Stunden-Tag sind das nur rund elf Minuten oder eben nicht mal eine Stunde pro Woche. Darüber hinaus heißt es in der Studie: "Die Befragten gaben an, nicht den Wunsch zu haben, dies zu erhöhen". Angesichts der Fülle an Sicherheitslücken scheint die angegebene Zeit wenig realistisch, um in dieser zeitnah alle Lücken zu beheben.

Im Kopf trotzige Kinder statt Entwickler

Angesichts der immer stärker werdenden Abhängigkeit der gesamten Gesellschaft von IT-Systemen sind solche Aussagen sehr besorgniserregend und eigentlich nur mit einer sehr kindischen Null-Bock-Einstellung vieler Entwickler zu erklären, die sich schlicht nicht um Security kümmern wollen. Dieser völlig unangebrachte Trotz zeigt sich auch in einigen Antworten, die in der Umfrage zitiert werden.

Dort heißt es etwa: "Ich finde das Unterfangen der Security eine seelenverderbende Aufgabe und ein Thema, das am besten den Anwälten und Prozessfreaks überlassen bleibt." Oder: "Ich finde Security ein unerträglich langweiliges Verfahrenshindernis." Hier reicht mein Sarkasmus nicht mehr aus, um das irgendwie einzuordnen. Ich bin einfach nur noch wütend. Software zu entwickeln, hat einfach nichts mit Selbstverwirklichung zu tun, auch wenn sich das immer noch zu viele Entwickler einreden, wie sich etwa in diesen Aussagen zeigt. Software sollte bestenfalls Menschen helfen, produktiv zu sein und nicht leichtsinnig Menschen gefährden, nur weil das Bearbeiten von Sicherheitslücken zu langweilig ist.

Golem Akademie
  1. PostgreSQL Fundamentals
    14.-17. September 2021, online
  2. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Mit etwas zu viel Wohlwollen ließe sich immerhin noch zugutehalten, dass es ja allen selbst überlassen sein sollte, wie sie ihre Zeit verbringen - vor allem als Hobby in Open-Source-Projekten. Nur ist das eine völlig veraltete und verklärte Weltsicht. Denn Betreuer und regelmäßig zu Open-Source-Projekten Beitragende werden für eben diese Aufgaben in den meisten Fällen bezahlt - auch das zeigt die Umfrage.

Und selbst wenn es keine Bezahlung dafür geben sollte, ist es völlig unverständlich, wie einem die Sicherheit eines Projekts und der Nutzer so dermaßen egal sein kann, dass das nicht viel mehr Wert ist als ein Schulterzucken. Solche Entwickler sollten ihre Tätigkeit einfach sein lassen und sich ein Hobby zur Selbstverwirklichung suchen, das niemandem schadet außer ihnen selbst. Eine Sportart vielleicht oder Heimwerken.

Frustration entfacht dann erst recht der Schluss der Autoren der Linux Foundation. Diese halten es für unwahrscheinlich, "dass Bemühungen, die darauf abzielen, die Zeit, die Mitwirkende für die Sicherheit aufwenden, drastisch zu erhöhen, von vielen bestehenden OSS-Mitwirkenden begrüßt werden. Insbesondere wenn die Entwickler erhebliche neue Schritte ausführen müssen". Ja, Software-Security ist anstrengend, das ist doch aber noch lange kein Grund, das nicht zu machen.

Wunschkonzert der Security

Völlig absurd sind die Ergebnisse der Umfrage, die zeigen, dass sich die Befragten ein Outsourcing der Security-Aufgaben wünschen. Offenbar wissen doch alle nur gut genug, wie wichtig es eigentlich ist, sich um das Security-Thema zu kümmern. Der dabei am meisten geäußerte Wunsch sind Beiträge zu den Projekten, die Fehler und Sicherheitslücken beheben.

Selbst keinen Bock auf die Arbeit haben, aber anderen sagen, dass sie sich bitte darum bemühen sollten - das ist einfach nicht miteinander in Einklang zu bringen. Also außer natürlich mit einer arroganten Überheblichkeit, die Security eben als nicht ganz so wichtig oder irgendwie nachrangig einordnet, was die Antworten ja auch zeigen.

Tatsächlich äußern die Befragten auch weitere nachvollziehbare Wünsche, die in Bezug auf die Security vieler Projekte sicher sinnvoll wären. Dazu gehören eine bessere finanzielle Ausstattung der Projekte, CI-Pipelines oder auch Security-Audits. Doch auch diese Arbeit muss schließlich irgendwer übernehmen und die Resultate dann betreuen und auswerten.

Das haben natürlich inzwischen auch jene Unternehmen erkannt, die starke wirtschaftliche Abhängigkeiten zur Sicherheit von Open-Source-Software haben und finanzieren entsprechende Initiativen wie die Core Infrastructure Initiative oder die OpenSSF.

Diese Arbeiten sind zwar extrem wichtig und helfen garantiert einigen Open-Source-Projekten unmittelbar weiter. Solange sich aber die grundlegende Einstellung vieler Entwickler zur Security-Arbeit nicht ändert, sind all diese Bemühungen kein großer Wurf, sondern eben nur Kosmetik für das zugrundeliegende Problem, dass Software-Security nicht ernst genug genommen wird. Zum Schaden der Nutzer.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Raumfahrt
Astra startet mit großen Ambitionen Billigraketen in Alaska

Mit 250.000 US-Dollar sollen die Raketen von Astra zum Preis eines Sportwagens hergestellt werden können. Wie will die Firma das schaffen?
Von Frank Wunderlich-Pfeiffer

Raumfahrt: Astra startet mit großen Ambitionen Billigraketen in Alaska
Artikel
  1. Nvidia und Colorful: Das Grafikkartenmuseum eröffnet seine Pforten
    Nvidia und Colorful
    Das Grafikkartenmuseum eröffnet seine Pforten

    Colorful und Nvidia eröffnen bald ein Grafikkarten-Museum. Zu sehen sind Seltenheiten wie die erste Dual-GPU von ATI und die Geforce 256.

  2. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

JouMxyzptlk 16. Dez 2020

Input: Video mit Untertitel und diversen Audiosupren in HDR/10 bit, und Wasserzeichen...

FreiGeistler 16. Dez 2020

Puh, wo kommt diese verquere Weltsicht her? Ist ja nicht so, als ob das Individuen...

FreiGeistler 15. Dez 2020

Wegen so was muss man m.E. auch nicht den Code verwüsten. Ausser in Hochrisiko-Software.

kaesekuchen 15. Dez 2020

+1000 Danke!

wurstdings 15. Dez 2020

Klar die Software ist kostenlos, das Bugfixing nicht unbedingt. Außerdem, bedeutet freie...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    •  /