02.01.2022 Open Source stabiler und besser
Image von Open Source Programmen in Gefahr?
Schon vor 3 Wochen hatten wir über die Sicherheitslücke Log4j berichtet. Diese in vielen Softwarepaketen enthaltene Funktion zum Loggen der Arbeit dieser Software ist ein Open Source Produkt, d.h. sie ist in freiwilliger Arbeit und meist ohne Bezahlung entstanden.
Birgt diese Sicherheitslücke nun die Gefahr das gute Image von Open Source Programmen zu gefährden? Diese Gefahr besteht nicht, denn wie "Wired" bereits 2004 feststellte, erweist sich im Allgemeinen Open Source Software als viel sicherer als kommerzielle Varianten. So werden im Quellcode des frei verfügbaren Betriebssystems Linux durchschnittlich 0,17 Fehler pro 1000 Zeilen Code gefunden aber in den kommerziellen Systemen sind es zwischen 20 und 30.
Lassen wir uns diese Zahlen mal auf der Zunge zergehen: Gut bezahlte Programmierer in den Büros der Internetgiganten Google, Apple und Microsoft machen 100 bis 200-mal mehr Fehler als Menschen, die in ihrer Freizeit und mit Lust und Laune programmieren. Hinzu kommt noch, dass die Programmierer in den Konzernen von Abteilungen der Qualitätssicherung kontrolliert werden, die es trotzdem nicht schaffen diese Fehler zu bemerken und zu korrigieren.
Manon Bischoff stellt auf spektrum.de dazu fest:
Während angestellte Informatiker in Firmen nicht selten sechsstellige Jahresgehälter beziehen, finanzieren sich Personen, die an Open-Source-Projekten arbeiten, über Spenden. Tatsächlich hatte Ralph Goers, der Log4j in seiner Freizeit (neben seinem Vollzeitjob) verwaltet, bis vor Kurzem lediglich drei Förderer auf der Software-Plattform »GitHub«. Auch Volkan Yazıcı, der an Log4j mitarbeitet, beschwert sich auf Twitter: "Wir haben ununterbrochen an Maßnahmen gearbeitet … Doch nichts hält die Leute davon ab, uns wegen einer Arbeit zu beschimpfen, für die wir nicht einmal bezahlt werden …"
Auch ihre Recherche ergibt, dass trotz Log4j und dem Verweis auf die Heartbleed Lücke vor einigen Jahren, ebenfalls in Open Source Software, frei verfügbare Quellcodes viele Vorteile bieten, die weit über die "finanzielle Aspekte" (= die Ausbeutung der Programmierer) hinausgehen. Software, die nicht an die festen Strukturen gebunden ist, die ein Unternehmen stets vorgibt, kann Anwendungen ermöglichen, die anfangs vielleicht gar nicht angedacht waren. Auch die freie Diskussion unter den Entwicklern schafft Möglichkeiten, die im fest geschlossenen Geheimlabor eines Unternehmens nicht entstehen können.
Unser Fazit bleibt also das Gleiche, wie in dem Artikel vor 3 Wochen: ... in Deutschland könnte das BSI mit der Digitalisierungs-geilen neuen Koalition im Rücken endlich mal Position für Open Source Software beziehen - aber das geht der unternehmensfreundlichen FDP sicher wieder zu weit. Mit poliiitscher und finanzieller Unterstützung für Open Source in den letzten 20 Jahren sähe die Software-Landschaft aber auch die Digitalisierung in Europa anders aus.
Mehr dazu bei https://www.spektrum.de/news/log4j-sicherheitsluecke-und-open-source/1961080
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7881-20220102-open-source-stabiler-und-besser.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7881-20220102-open-source-stabiler-und-besser.htm
Tags: #Log4j #Lücke #Schwachstelle #OpenSource #Apple #Microsoft #Facebook #Google #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Smartphone #Handy #App #Verhaltensänderung #Profit #EU #Cyberwar #Hacking #Trojaner #Vielfalt #Anwendbarkeit
Log4j maintainers have been working sleeplessly on mitigation measures; fixes, docs, CVE, replies to inquiries, etc. Yet nothing is stopping people to bash us, for work we aren't paid for, for a feature we all dislike yet needed to keep due to backward compatibility concerns. https://t.co/W2u6AcBUM8
— Volkan Yazıcı (@yazicivo) December 10, 2021