0711 schrieb:
Ich habe befürchtet, dass leider nur ein Link von einem Sicherheitsdienstleister kommt in dem ungepatchte Sicherheitslücken aufgelistet sind. Das kann man der Aussage "
OSS ist (absolut) sicher weil der Quelltext offen ist" entgegenhalten, aber für ein QED der Aussage "
im Verhältnis zu CSS" müssen noch
einige andere Informationen gegeben sein. Das Einzige was die Praxis hier zeigt ist, dass auch OSS nicht vor Sicherheitslücken und auch nicht durch die, gefunden durch Dritte gewappnet ist. Und das ist auch überhaupt nicht das, worauf ich hinaus wollte.
Ich fasse mich bei den Antworten, zeitlich bedingt mal eher kürzer. Was mein zentraler Punkt ist, dürfte im letzten Absatz ersichtlich sein und der Kürze der Antworten gerecht werden.
0711 schrieb:
analysewerkzeuge sollten zum entwicklungsablauf gehören
Sollten. Und wenn das ein Autor von CSS nicht macht, habe ich im Gegensatz zu OSS keine Chance da selbst einen Test auf Sourceebene durchzuführen.
0711 schrieb:
auch closed source software kann durch dritte geprüft werden
Nur durch Einwilligung des Autors. Und dann ist noch die Frage, welche Teile er als Source rausgibt. Das ist ein ähnlicher Fall wie im vorherigen Punkt.
0711 schrieb:
Eben. "Je nach".
0711 schrieb:
und wenn nicht durch dritt firmen wird das inhouse durchaus gemacht
Woher weißt du das?
0711 schrieb:
die praxis zeigt dass weder open source oder closed source für sichere software sorgt.
Und genau für die Aussage, benötigt man aber vergleichende Zahlen. Und die wird man kaum bekommen, da wohl kaum eine Hand voll Autoren den Code ihrer geschlossenen Projekte hergeben, oder gar damit rausrücken welche bekannten Sicherheitslücken gerade in ihrer Software existiert. Siehe Adobe, Microsoft oder diverse Hersteller diverser Geräte mit embedded Software.
0711 schrieb:
Das was analysetools heute übersehen ist durch reinen code lesen kaum noch selbst zu fassen sondern nur durch tests bzw zufall.
Ja. Zumindest ist mein Eindruck, zum Beispiel durch Mitverfolgen mancher Mailinglisten, dass bei aktuell bearbeiteten Codeteilen sofern diese zu einem wichtigen Projekt gehören, sehr wohl Dritte den Prozess auch auf sicherheitskritische Punkte verfolgen. Bei CSS kann ich nur hoffen, dass das passiert. Und ich weiß, dass das zu oft nicht passiert. Namen werde ich hier aber trivialer weise nicht erwähnen.
0711 schrieb:
Wen man böse argumentieren will kann offene entwicklung sogar zur gefahr werden
Das ja, nur hier endet meine Argumentation bzw. Einschätzung. Man müsste nachprüfen können, wie sehr dieser Umstand von Autoren von Schädlingen genutzt wird.
0711 schrieb:
ganz unabhängig davon müssen die fehlerbehobenen pakete auch überhaupt bei den anwendern ankommen
Das ist jetzt nicht unbedingt OSS verschuldet, aber das tut es zumindest ziemlich flott unter Systemen mit einem Paketmanagement. Daher stehe ich in diesem Punkt auch Metro positiv gegenüber. Microsoft dürfte mutmaßlich damit einen guten Sprung in Sachen Sicherheit schaffen.
Um nun zu meinem zentralen Punkt zu kommen.
Folgendes Zitat fasst das zusammen was ich mit obigen Aussagen hervorheben möchte:
Elias Levy (Aleph1) schrieb:
So does all this mean Open Source Software is no better than closed source software when it comes to security vulnerabilities? No. Open Source Software certainly does have the potential to be more secure than its closed source counterpart. But make no mistake, simply being open source is no guarantee of security.
Es geht mir hier nicht um die Garantie, sondern um die Wahrscheinlichkeit. Das sind bei einer Diskussion/Argumentation um Sicherheit, zwei Paar völlig unterschiedliche Betrachtungsweisen bzw. Anforderungen. Und ich vermute, dass du meine Aussagen eher als eine "Garantie" verstanden hast.
BTW: Ich hoffe es wird niemand ungemütlich wegen unseres OT.