Sicherheit Freier Software

Volker Dormeyer volker at ixolution.de
Sa Apr 8 11:58:04 UTC 2017 

Hallo Matthias,

ich bin mir nicht sicher, ob sich das folgende brauchen lässt.
Denn im wesentlichen kennen wir das alles bzw. ist ja der FSFE
bekannt.

Ich arbeite meist in heterogenen Umgebungen, die aus freien
und nicht-freien Komponenten bestehen. Dem Artikel auf LWN kann
ich nur z. T. zustimmen. Das dort beschriebene "Review-Problem"
besteht auch in der Entwicklung nicht-freier Software.

Was die Fragen der Qualität und Sicherheit Freier Software betrifft
komme ich immer wieder auf David Wheelers' Artikel [1] zurück, obwohl
dieser gerade was seine Zahlen aus der Sektion Security betrifft sehr
alt ist. Die freien Software Entwicklungsmodelle haben für mich in
Sachen Qualität einen nicht zu unterschätzenden Vorteil. - Die
Entwickler die sich für ein Projekt entscheiden, und Code beisteuern
leben für die Sache die sie tun. Sie haben sich in der Regel bewusst
für das Projekt entschieden. Bei Entwicklung nicht-freier Software
haben die meisten Entwickler nur einen "Job" - sie programmieren
evtl. ein Stück Software, dass sie in keinster Weise interessiert.

Life-Cycle-Management - ein großer Begriff. Ich mache es mal kleiner
Patch-Management (ein Teil von Life-Cycle-Management). Ist bei
Applikationen die in die jeweilige Distribution eingebaut sind
unproblematisch - solange man bei dem bleibt, was mitgeliefert wird.
Hier wird einmal die Distribution aktualisiert und fertig. Das sieht
bei MS Windows z. B. komplett anders aus. Sobald man mit
Dritthersteller-Software auf einem Windows-Server arbeitet, muss
separiert vom System jede Dritt-Software angepasst werden. Das
wird i.d.R. durch weitere Software-Management/Rollout-Tools bei
den proprietären System kompensiert. Kostet dennoch Geld und Zeit,
und Kontrolle der System-Umgebung wird aufwändiger.

Generell denke ich, dass das Life-Cycle-Management eben durch die
Vielfalt der Distributionen besser abgedeckt wird als bei proprietären
Systemen, die sich nur auf den Kern beschränken. Das war alles
ersteinmal durch die OS-Brille gesehen...

Die Bewertbarkeit durch Dritte kann bei prorietärer Software meiner
Meinung nach nicht so effizient sein wie bei freier Software. Denn
freie Software erlaubt Code-Audits, und damit verbunden _intensive_
Tests die bei vielen proprietären Produkten so nicht möglich sind.
David Wheeler stellte seinerzeit die These auf, dass die meisten
Sicherheitslücken bei Freier Software eben durch Code-Audits gefunden
werden und wurden.

Das Thema "Rechtliche Verantwortung" kommt immer wieder auf. Insb.
von Leuten die der Meinung sind, dass hinter den proprietären
Produkten z. T. große Unternehmen stehen, die die Verantwortung
übernehmen. Das stimmt in der Praxis nicht, denn diese Unternehmen
entziehen sich dieser Verantwortung per Lizenz. Ich denke es gibt
weder in der nicht-freien noch in der freien Software Welt diese
rechtliche Verantwortung. Diese wird im Zweifel auf den Betreiber
der Systemumgebung, Plattform oder auch "Cloud" abgewälzt, der
dann mit Hilfe von Life-Cycle-Management alles aktuell halten
und daneben regelmäßige Tests durchführen muß.

Wie auch immer, es gibt noch vieles mehr zu den Punkten zu sagen...

Ich möchte anregen ggf. einen Punkt zu Datenschutz per Verschlüsselung
mit aufzunehmen, um aufzuzeigen, wie wichtig freie Algorythmen in
Verbindung mit Freier Software sind. Kann mir aber auch Denke, dass
Deine Veranstalung einen ganz anderen Ansatz verfolgt.

Viele Grüße,
Volker

[1] https://www.dwheeler.com/oss_fs_why.html

--
  Volker Dormeyer Systementwicklung                <volker at ixolution.de>
  Lösungen mit Freier Software                 (http://www.ixolution.de)
  Berliner Strasse 9  ::  64331 Weiterstadt  ::  Telefon 06150-972982-10



On 04/07/2017 10:00 AM, Matthias Kirschner wrote:
> Ich bin übernächste Woche zu einer Tages-Veranstaltung eingelanden bei
> der es um die Sicherheitsbilanz von Freier Software geht. Könntet ihr
> mir noch etwas Rückmeldung dazu geben, wie ihr die Punkte seht?
>
> Zu der Veranstaltung: Im ersten Schritt soll herausgearbeitet werden,
> welche (für Sicherheit erheblichen) Charakteristika freie Software und
> proprietäre Software unterscheiden:
>
> - Qualität der Entwicklung (Hierzu habe ich z.B. gestern den
>   Interessanten Artikel gelesen: https://lwn.net/Articles/718411/ )
> - Life-Cycle-Management
> - Bewertbarkeit von Sicherheit durch Dritte
> - Verfahren der Schließung von Sicherheitslücken, Reaktionszeit
> - Rechtliche Verantwortung
>
> Im zweiten Schritt soll bei der Veranstaltung ein Raster entwickelt
> werden, das Anwender von Software anlegen können, um
> anwendungsspezifisch zu beurteilen, ob für die Sicherheitsanforderungen
> des jeweiligen Bereichs der Einsatz von freier oder proprietärer
> Software eine bessere Sicherheitsbilanz aufweist.
>
> Freue mich über Eure Kommentare/Verweise/Anregungen.
>
> Dankeschön
> Matthias
>


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20170408/a995ff96/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de