Die langjährige Debatte über die Sicherheit von Open-Source- und proprietärer Software ist seit langem von zwei Lagern geprägt: Anhänger beider Seiten argumentierten für ihre jeweiligen Modelle. Besonders im Fokus stand die Frage, ob Software sicherer ist, wenn ihre Quellen geheim gehalten werden oder ob nicht im Gegenteil offener Quellcode die Sicherheit fördert.
Kommerzielle Open-Source-Software verbindet das Beste aus zwei Welten
Die Bonner Studie kommt nun zu dem Ergebnis, dass Open-Source-Software zunehmend an Bedeutung gewinnt und proprietäre Software immer häufiger Open-Source-Code enthält. Dadurch wird eine klare Trennung der beiden Sphären zunehmend erschwert. Die Studie stellt darum Methoden vor, die sich auf den Entwicklungsprozess und die allgemeine Qualität beziehen und gleichermaßen auf Open-Source- und proprietäre Software angewendet werden können. Die vorgestellten Best Practices für sichere Softwareentwicklung und Qualitätsmetriken sind bei Open-Source-Software unabhängig, transparent und nachvollziehbar überprüfbar.
Die Studie ergab, dass Open Source Software insbesondere in den Kategorien Kosten, Transparenz und Sicherheit punktet, während proprietäre Software mit umfassendem Support und rechtlicher Klarheit durch Verträge überzeugt. Die Studie empfiehlt als Brücke zwischen beiden Welten kommerzielle Open-Source-Software, die von Open-Source-Unternehmen vorangetrieben und vermarktet wird.
Versachlichung einer von Baugefühl geprägten Debatte
Prof. Dr. Michael Meier, in dessen Arbeitsgruppe an der Universität Bonn die Studie entstanden ist, sagt: „Das Thema Open Source vs. proprietäre Software ist stark emotional besetzt, die Frage nach Sicherheitsaspekten war bislang durch Bauchgefühl, Vorurteile und Vermutungen geprägt. Das hat uns dazu inspiriert, das Thema sachlich und wissenschaftlich aufzuarbeiten.“ Das Mittel der Wahl dafür war eine sogenannte Metastudie. Dr. Ohm erklärt: „Wir haben zunächst beide Ansätze grundlegend verglichen, um Unterschiede, Gemeinsamkeiten und Synergien festzustellen. Dann folgen Empfehlungen für eine sichere Softwareentwicklung und abschließend eine Auswahl an Metriken zur Beschreibung von Softwarequalität.“
Impulse für einen besseren Entwicklungsprozess
Die OSB Alliance ist ein Verband von IT-Unternehmen und Organisationen, die sich für den Einsatz von Open-Source-Software einsetzen und deren Interessen in Politik, Wirtschaft und Gesellschaft vertreten. Sie fördert den Einsatz offener und interoperabler Lösungen in deutschen Unternehmen und der öffentlichen Verwaltung.
„Wenn es um die Sicherheit von Software geht, kann Offenheit und kollaborative Entwicklung helfen“, erklärt Elmar Geese, Sprecher der Arbeitsgruppe Security in der OSB Alliance. „Doch allein damit ist es nicht getan. Mit unserer Studie wollen wir Impulse setzen, um diese Lücke zu schließen. Insbesondere kommerzielle Anbieter von Software sind hier in der Pflicht.“
Peter Ganten, Vorstandsvorsitzender der OSB Alliance, sagt: „Die Studie zeigt klar den Goldstandard: Der Entwicklungsprozess und die Qualität von Open-Source-Software sind transparent und unabhängig überprüfbar. Zusammen mit professionellem Support erhalten Anwender das bestmögliche Ergebnis an Sicherheit und vermeiden die Abhängigkeit von einzelnen Anbietern.“
Die Studie erhielt auch Zustimmung von Vertretern aus der Industrie. Silke Tessmann-Storch, Vorständin Lösungen bei Dataport, sagt: „Die Studie räumt mit Vorurteilen über sichere Softwareentwicklung auf und nennt konkrete Kriterien für deren Beurteilung. Das trägt zur Versachlichung der Diskussion um den Einsatz von proprietärer versus Open-Source-Software bei.“
Timo Levi von der Deutschen Telekom AG betont: „Open Source Software und Sicherheit sind keine Gegenpole – das zeigt diese Studie einmal mehr. Wichtig ist, dass Partner ihre Aufgaben ordentlich wahrnehmen. Kunden können sich so auch vollständig auf Open Source Software verlassen.“
Weitere Informationen zur Studie gibt es unter: https://osb-alliance.de/pressemitteilungen/studie-zur-sicherheit-von-open-source-und-proprietaerer-software
Kontakt für die Medien:
Prof. Dr. Michael Meier
Tel.: 0228/73-54249
E-Mail: mm@cs.uni-bonn.de