Sind Open Source Programme unsicherer?
Es kann ja jeder nach Sicherheitslücken im Quellcode suchen. Bei Apple geht das ja nicht. Oder doch?
8 Antworten
Nein, Open Source ist nicht unsicherer, aber leider auch nicht unbedingt sicherer als kommerzielle Software. Ja es kann jeder den Code prüfen, aber es muss trotzdem jemand mit Ahnung machen, was nicht sichergestellt ist. Es gab auch letztes Jahr einen Fall wo ein Open source project von chinesischen Geheimdienst unterlaufen wurde und versucht wurde eine Sicherheitslücke einzubauen. In dem Fall ist es aufgefallen, dass bedeutet aber nicht das es immer auffällt.
Gleichzeitig hat kommerzielle Software auch regelmäßig Sicherheitslücken und wird von Regierungen teilweise gezwungen Sicherheitslücken einzubauen ("Hintertüren")
Sind Open Source Programme unsicherer?
Nicht unbedingt. Am Ende kommt es immer auf den Code selbst an
Es kann ja jeder nach Sicherheitslücken im Quellcode suchen.
Prinzipiell ja. Gleichzeitig kann aber auch jeder den Code einsehen und überprüfen. Bei unbekanntem Quellcode musst du darauf hoffen, dass es keine SIcherheitslücken gibt.
Es sind außerdem nur wenige Programme komplett Closed Source.
Die meisten Entwickler nutzen öffentliche Libraries, um sich Arbeit zu ersparen. Diese sind allerdings sehr häufig Open Source.
Je nach Lizenz der Library können sie diese ohne jegliche Erwähnung nutzen. Bei anderen Lizenzen müssen sie die Nutzung öffentlich angeben oder den Code vom eigenen Programm sogar veröffentlichen.
Egal ob die Nutzung öffentlich angegeben ist oder nicht, kann man die Fehler von öffentlichen Libraries bei Closed Source Programmen ausprobieren und man kommt eventuell über die Lücke ans Ziel.
Die Entwickler der Closed Source oder auch Open Source Anwendungen müssen die Abhängigkeiten regelmäßig aktualisieren, um die besagten Lücken auch in der Anwendung zu schließen.
OpenSSL wird gefühlt von jeder Anwendung genutzt, wo irgendwo Kryptographie genutzt wird (z.B. HTTPS). Wenn dort eine schwerwiegende Lücke gefunden wird, sind auch sehr viele Closed Source Anwendungen betroffen.
Ja, aber das ist gleichzeitig ein Sicherheitsmerkmal.
Bei Apple oder Windows basiert die Sicherheit darauf, dass nicht bekannt ist. Also du machst eine Bettdecke über das, was drunter ist und hoffst, dass keiner etwas findet. Security through obscurity. Du musst dem Hersteller blind vertrauen, dass er seinen Job macht. Und wie wir jeden Monat sehen: Apple und Windows schaffen es nicht. Oftmals sind Sicherheitslücken längst bekannt, bevor sie behoben werden. Bei Linux ist das immer andersrum.
- Fehler in Windows nicht behoben: https://www.heise.de/news/Microsoft-Sicherheitspatch-reisst-neue-Sicherheitsluecke-auf-10360468.html?wt_mc=rss.red.ho.ho.rdf.beitrag.beitrag
- Fehler in Grub längst gelöst: https://www.news.de/technik/856606206/grub2-gefaehrdet-it-sicherheitshinweis-vom-bsi-und-bug-report-update-zu-bekannten-schwachstellen-und-sicherheitsluecken-vom-09-04-2025/1/
Bei FOSS kann jeder - auch du selbst - die Sicherheit anhand des Quellcodes prüfen. Du kannst auch für eine Software ein Audit aufgeben und so weiter. Außerdem kannst du zur Not selbst einen Patch für eine Sicherheitslücke im System schreiben - bei closed Source wartest du ewig auf den Hersteller.
Siehe bspw https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
Daneben gilt: wer den Quellcode nicht offen legt, hat etwas zu verbergen: Telemetrie, Spionage, Fehler,... Selten "Gutes".
Also haben apple und Microsoft etwas zu verbergen?
Du glaubst aber auch, die die CIA ja nur das beste wollte, als diese den kompletten Vietnamkrieg vertuscht haben
Wie kann man den Quellcode dann bei offenen Programmen eigentlich einsehen
Github, gitlab, etc. Wenn du sicher sein willst, musst du es aber natürlich selber kompellieren.
Natürlich haben die was zu verbergen. Schaue doch mal die Analysen an Daten an, die beide Betriebssysteme jede Minuten nach Hause schicken. 😱
Der Quellcode liegt meist in einem öffentlichen Repository bspw bei
- Codeberg
- Github
- Einem projektinternen Gitlab
Etc. Und kann dort eingesehen werden. Bspw der Linux Kernel Quellcode liegt hier:
Der von LibreOffice hier:
https://download.documentfoundation.org/libreoffice/src/
woher weiß man denn das sie auch das Original veröffentlichen und nicht insgeheim noch was abändern
Irgendwo muss Vertrauen anfangen. Aber du kannst natürlich alles selbst kompilieren oder auf sogenannte reproducible builds setzen. Das kannst du mal selbst recherchieren, dafür reicht der Platz im Kommentar nicht.
Wenn Du eine Linux-Distro hast, kannst Du zu jedem Open Source Programm auch den Quellcode aus den Repos herunterladen. Desweiteren findest Du Quellcode fast immer auf github oder ähnlichen Seiten und natürlich auch auf der Hersteller-Webseite.
Also haben apple und Microsoft etwas zu verbergen?
Sie halten es für geschäftlich sinnvoller, nicht ihren ganzen Sourcecode zu veröffentlichen. Das ist nicht außergewöhnlich.
Es stimmt aber auch nur eingeschränkt. So sind etwa große Teile von MacOS tatsächlich Open Source (Darwin): https://github.com/apple-oss-distributions
Sogar Microsoft - einst radikaler Gegner von Open Source - trägt mittlerweile zu etlichen OSS-Projekten bei. Die alten Kernprodukte Windows und Office sind aber closed source.
Sie halten es für geschäftlich sinnvoller, nicht ihren ganzen Sourcecode zu veröffentlichen. Das ist nicht außergewöhnlich.
Doch ist es. Denn es gibt auch Firmen wie Red Hat, SUSE, Nextcloud & Co., die trotz oder eher wegen der Veröffentlichung des Quellcodes ordentlich Geld verdienen.
Natürlich kann man dann die Kunden nicht mehr erpressen und jedes Jahr die Preise astronomisch erhöhen, aber es geht zu Gunsten der Qualität. Denn Microsoft hat mit Qualität nichts mehr zu tun, v.a seit sie die interne Qualitäts-Sicherungs-Gruppe eingedampft bzw. gestrichen haben. Die QC machen jetzt die "dummen" Kunden.
Sogar Microsoft - einst radikaler Gegner von Open Source - trägt mittlerweile zu etlichen OSS-Projekten bei. Die alten Kernprodukte Windows und Office sind aber closed source.
Offiziell tun sie das, aber die wirklich wichtigen grundlegende Projekte, auf denen weite Teile des Internets und auch deren Software aufbauen, werden immer noch nicht unterstützt.
Nein, stimmt so pauschal nicht.
In Closed Source Software kann man auch nach Sicherheitslücken suchen. Der Source Code macht es auch nicht unbedingt trivial Lücken zu finden.
Open Source bietet Chancen und Risiken, am Ende kommt es eher darauf an wie gut die Software entwickelt wird. Es gab auch in open source Software schon Lücken die lange unentdeckt blieben, obwohl jeder rein schauen konnte, genau so gut kann es in closed source Software komplexe Lücken geben, die gefunden werden obwohl nur der Entwickler den Quellcode hat.
Open Source heißt nicht automatisch, dass jemand den Code gründlich durch geht, und closed source nicht, dass Lücken automatisch schwierig zu finden sein müssen.
Also haben apple und Microsoft etwas zu verbergen? Zudem:
Wie kann man den Quellcode dann bei offenen Programmen eigentlich einsehen also kann man das direkt im Programm einziehen oder wird das dann irgendwie extra veröffentlicht und wenn ja woher weiß man denn das sie auch das Original veröffentlichen und nicht insgeheim noch was abändern