Sicherheit Freier Software
Hanno Böck
hanno at hboeck.de
Fr Apr 7 08:22:02 UTC 2017
On Fri, 7 Apr 2017 10:00:43 +0200
Matthias Kirschner <mk at fsfe.org> wrote:
> - Bewertbarkeit von Sicherheit durch Dritte
Das ist imho ein entscheidender Punkt. Proprietäre Software kann nur
so sicher sein wie der Hersteller es bereit ist zuzulassen. Bei freier
Software können Dritte - auch gegen den Wunsch des Herstellers - ein
Audit veranlassen o.ä..
Dabei auch wichtig: Zwar ist es ebenfalls möglich, dass bei proprietärer
Software Dritte nach Sicherheitslücken suchen, aber es bestehen
zahlreiche Möglichkeiten der Bug-Suche nicht, die Sourcecode
voraussetzen.
Gerade bei modernen Bug-Finding-Tools (Coverage-basiertes Fuzzing, C
Sanitizer) ist Sourcecode häufig die Voraussetzung.
> - Rechtliche Verantwortung
Rechtliche Verantwortung für Sicherheitslücken gibt es de facto nie,
da es keine Softwarehaftung gibt, unabhängig davon ob es proprietäre
oder freie Software ist. (Anmerkung: Auch bei
Sicherheits-Zertifizierungen gibt es praktisch nie rechtliche
Verantwortung, weder für den Hersteller noch für die
Zertifizierungsstelle.)
--
Hanno Böck
https://hboeck.de/
mail/jabber: hanno at hboeck.de
GPG: FE73757FA60E4E21B937579FA5880072BBB51E42
Mehr Informationen über die Mailingliste FSFE-de