Follow

So ein unreflektiertes "OpenSource ist so viel unsicherer" nervt mich wirklich. Der einzige Unterschied zwischen Open- und Closed-Source ist nur, dass die Closed Sicherheitslücken auch nach 30 Jahren noch unerkannt in Betrieb sind!

heise.de/news/Amnesia-33-ein-R

@jerger Ich kann da kein Open Source-Bashing rauslesen. Das beschriebene Hauptproblem (Wiederverwendung multipliziert das Leck) ist real und der wichtigere Aspekt als die Frage, ob die Lücke in einem proprietären oder einem Open Source-Produkt auftritt. Natürlich ist die (kostenfreie) Verwendung eines der Hauptargumente für den Einsatz von Open Source, von daher ist es vermutlich auch nicht verwunderlich, dass diese Lücke jetzt auch andere Produkte betrifft. Das wäre bei einer vertriebenen proprietären Lösung aber ähnlich.

@schaueho Stimmt schon, das ist nicht der repräsentativste Artikel. Es geht mir auch nicht um Bashing, sonder um Framing. Denn wenn nur die Unsicherheit von OpenSource betont wird und die Unsicherheit von ClosedSource völlig unbeleuchtet bleibt, dann passt das nicht.

Anbei noch ein Bsp. aus der Reihe: heise.de/news/GitHub-Report-Sc

@jerger Umgekehrt wird Software nicht von Zauberhand dadurch sicher, dass man sie unter einer Open-Source Lizenz veröffentlicht.

@ingo_wichmann klar ... aber sie wird deutlich besser prüf und nachvollziebar. Und das ist ein handfester, forensischer Sicherheitsgewinn.

Ich wende mich gegen das Framing "OpenSource ist unsicher" das ich seit 1-2 Jahren bemerke.

@jerger Ich habe vor kurzem wieder in einem Artikel über den SolarWinds hack das Wort "Kronjuwelen" in Bezug auf den Quellcode proprietärer Software gelesen.
Tatsächlich trifft der Vergleich recht gut: auch die Kronjuwelen der Queen kann sich jeder ansehen, wer etwas Aufwand auf sich nimmt.
Und zur Not geht es auch ohne Quellcode - wir bieten eine Schulung dazu an ;-)
linuxhotel.de/kurs/reverse-eng

Sign in to participate in the conversation
social.meissa

Die meissa community.

impressum