Sikkerhedsskrøner om open source aflives

Der er mange myter om sikkerhedsniveauet i open source software. Det er mere sikkert end proprietær software. Det er mindre sikkert. Ifølge danske sikkerhedseksperter er den frustrerende sandhed imidlertid, at det er hverken eller. Sikkerheden afhænger alene af, hvordan systemerne konfigureres.

Tilhængere af open source-software har gennem tiden haft rig mulighed for at grine i krogene, mens rapporter om sikkerhedshuller i produkter fra Microsoft og andre leverandører af proprietær software har hobet sig op.

Orme som Code Red skabte sidste år kaos i mere end en MS Internet Information Service server. Brugerne af open source serveren Apache følte sig derimod sikre.

I juli sidste år opdagede eksperter imidlertid huller i OpenSSL, der bruges til sikre transmissioner på Apache-servere.

Få uger efter ramte ormen Slapper, der ikke bare udnyttede hullet til at installere en bagdør, men også lagde bunden for et så kaldt denial of service-angreb, hvor flere computere angriber én computer.

Hverken mere eller mindre sikre

Og for danske sikkerhedseksperter er ovenstående et eksempel på, at open source på trods af de mange myter hverken er mere eller mindre sikkert end produkter, som er udviklet bag lukkede døre.

En central sikkerhedsdiskussion i open source er spørgsmålet om full disclosure? eller fuld offentliggørelse.

Hvis der bliver fundet et sikkerhedshul i open source, bliver det offentliggjort helt ned til hvilke kodelinjer problemet er opstået i.

Fortalere for open source hylder dette som en overvældende fordel set i forhold til de patches, der kommer ud fra for eksempel Microsoft, fordi det giver mulighed for alle at rette på problemer, og det skulle give en meget hurtig respons, når først hullet er blevet offentliggjort.

Ifølge Ulf Munkedal fra Fort Consult er der dog også en bagside.

? Open source er på godt og ondt kendt for at lave full disclosure på sikkerhedsbrister. Spørgsmålet er så, hvor sundt det er at fortælle alt? Det er ikke kun dem med gode hensigter, der kan læse koden. Også dem med dårlige hensigter kan uden videre se problemet, siger han.

En anden udbred myte om sikkerhed og open source er, at der er mere sikkert, fordi al kode ligger frit tilgængelig, og det derfor er langt nemmere at opdage eventuelle fejl.

Samtidig skulle antallet af mennesker, der ser på koden give færre brister.

? Det er ikke rigtigt. Teoretisk skulle det være enormt nemt at se fejl, når du har koden, men den fylder så meget, at der som regel ikke er nogen - eller i hvert fald meget få - der gør sig det besvær at se alt igennem. Samtidig sker der lige så mange menneskelige fejl i kodningen, som i proprietær software, siger Ulf Munkedal.

Hvor kommer koden fra?

Spørgsmålet er så, hvad virksomheder, der overvejer open source produkter i deres virksomheds IT-miljø skal være opmærksomme på i forhold til sikkerhed.

? Med open source software er der ikke nødvendigvis én leverandør, du kan henvende dig til, hvis der skulle opstå sikkerhedsproblemer. Det skal man selvfølgelig være opmærksom på, siger Ulf Munkedal.

Han anbefaler, at man henter software fra steder, der er 100 procent troværdige.

? Man har set flere eksempler på, at der har været indbrud de steder, hvor softwaren ligger, og at der er blevet ændret i koden og for eksempel installeret en bagdør i programmerne, siger han.

Det afgørende for et sikkert open source-miljø er dog i følge Ulf Munkedal, at det sættes rigtigt op.

? Der er ingen forskel i sikkerhedsniveauet på open source og propreitær software. I sidste ende er det, der virkelig har betydning for sikkerheden, den måde du konfigurerer på, siger han.
Hos sikkerhedsvirksomheden Protego opfordrer teknisk chef Peter Vestergaard til, at virksomheder overvejer open source på lige fod med alle andre produkter.

? Sikkerhed skal ikke være argumentet for at vælge open source-produkter fra, og det sker desværre alt for tit. Det er en af mine kæpheste, at det skal tages ind i overvejelserne på samme vilkår som alt andet software, siger han.

Denne artikel stammer fra avisen Computerworlds særtillæg om open source

Relevant link

http://www.idc-analyse.dk/" target="_new">Læs om IDC-analysen 'Open source - myter og realiteter.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Virksomhedsplatforme i forandring: Hvordan navigerer du i den teknologiske udvikling?

Hvordan finder du balancen mellem cloud- og hybride løsninger? Hvordan integrerer du legacy-applikationer ind i dit nye ERP-setup? Hvordan undgår du at havne i statistikken over store ERP-projekter, der fejler eller overskrider budgetterne?

14. maj 2025 | Læs mere


Computerworld Summit 2025, København – AI transforming business

Årets uomgængelige konference for dig, der er med til at træffe beslutninger om din organisations teknologiske fremtid, og vil have det samlede overblik over aktuelle tendenser i IT-branchen.

27. maj 2025 | Læs mere


Årets CIO 2025

Vi skal finde Årets CIO 2025 og den kvinde eller mand, som i et helt år kan bryste sig af at være landets bedste CIO.

03. juni 2025 | Læs mere