[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [InetBib] Inetbib Nachrichtensammlung, Band 1364, Eintrag 1



On Monday 02 Nov 2009, Ruth von dem Bussche wrote:

die Generalkritik an Open Source sollte so nicht stehen bleiben. Das
Problem ist nicht nur eines der eingesetzten Version der Software.
Typo3 und besonders PHP sind generell sehr viel stärker gefährdet als
andere Open Source Content Management Systeme:

Nun ja: Sicherheit ist ein Prozess und kein einmalig erreichbarer Zustand - 
nur weil keine Schwachstellen bekannt sind, ist Software nicht frei von 
solchen. Deswegen auch die Frage nach den Versionen:  diese ermöglichen 
zumindest zu sehen, ob nicht sowieso schon Sicherheitslücken bekannt waren, 
die Software also erwiesen unsicher war.

http://rheinland.worldploneday.de/2009/vortraege/WorldPloneDay2009.pdf
siehe daszu die Folien 20 und 21

Aus weniger CVE-Meldungen mehr Sicherheit zu folgern, ist verwegen: zu viele 
Unwägbarkeiten können einen Äpfel mit Birnen vergleichen lassen. Angefangen 
bei der Größe der Community, die sich mit Sicherheitsfragen bei der konkreten 
Software befasst, bis hin zum community-internen Umgang mit Bugs.
Aussagekräftigere Vergleiche bietet die Zeitdauer bis zur Behebung kritischer 
Schwachstellen nach Bekanntwerden.
Und ganz grundlegend: es handelt sich um einen Beitrag bei einem World Plone 
Day von einem Menschen, der der Plone-Community nahe steht. Es wäre sehr 
verwunderlich, wenn da nicht Zahlen und Statistiken zur Verwendung kämen, die 
Plone "besser" - was das auch immer heißen mag - als die Konkurrenz da stehen 
ließen.

Die Schwachstellen von PHP holen Sie sich aber natürlich auch mit
jeder kommerziellen PHP-Software ins Haus. Das hat also nichts mit
Open Source zu tun.

Sicherheit und Qualität von Software lässt sich nicht an der verwendeten 
Sprache festmachen (konkret PHP vs. Python): Der Vorteil bei Free/Open Source 
Software ist aber ja gerade, den Quellcode einsehen, diesen qualitativ 
einordnen und u.U. verbessern bzw. dies einem Dienstleister übertragen zu 
können.

-- 
Beste Grüße
Stephan Rosenke



-- 
http://www.inetbib.de


Listeninformationen unter http://www.inetbib.de.