Immer wieder begegnen wir dem Argument, dass Open Source Software (OSS) nicht sicher sein kann, weil sie kostenlos ist. Häufig wird das Sprichwort “there is no free lunch” angeführt. Warum dieses Argument falsch ist, möchten wir hier erläutern.
Software Code vs. Produkte
Zunächst muss man wissen, dass Software Code nicht mit physischen Produkten vergleichbar ist. Software hat ein einzigartiges Merkmal – sie kann ohne großen Aufwand vervielfältigt werden. Das ist zum Beispiel bei einem Auto nicht der Fall. Jedes Auto kostet in der Herstellung immer gleich viel. Software hingegen wird nur einmal geschrieben und lässt sich dann beliebig oft kopieren. Der Verkauf von Software basiert daher meist auf Lizenzen, die das geistige Eigentum und nicht den eigentlichen Code verkaufen.
Der Wert von Software Code
Da Software Code ohne große Kosten vervielfältigt werden kann, stellt sich die Frage: Was ist Software Code wert, wenn er so leicht zu vervielfältigen ist? Unsere Antwort ist einfach: Der Wert von Code ergibt sich aus der Anzahl der Systeme und Nutzer, die den Code verwenden und ausführen.
Der Wert von Software Code liegt in der Ausführung
Der Wert von Code steigt mit der Anzahl der Systeme und Nutzer, die diesen Code ausführen. Deshalb findet sich der Großteil des Codes auf Kollaborationsplattformen wie GitHub oder GitLab. Auf diesen Plattformen liegen Millionen von Open-Source-Projekten, darunter auch der Code des Linux-Betriebssystems, das es sogar bis auf den Mars geschafft hat.
Transparenz schafft Sicherheit
Diese Plattformen sind nicht nur für Entwickler, sondern auch für Sicherheitsforscher von großem Nutzen, um Schwachstellen im Code zu finden. Ein Ökosystem ist entstanden, in dem Entwickler dafür bezahlt werden, Sicherheitslücken zu entdecken und zu beheben (siehe zum Beispiel HackerOne). Der offene Zugang zu Code erhöht also die Sicherheit, da mehr Augenpaare den Code prüfen können.
Im Gegensatz dazu steht der Ansatz der “security through obscurity” (Sicherheit durch Verschleierung), welcher von Sicherheitsforschern längst als überholt angesehen wird.
Zusammenfassung
- Der Wert von Software Code liegt in der Anzahl der Systeme und Nutzer, die ihn ausführen.
- Je mehr Nutzer ein Code hat, desto höher der Wert und desto mehr Sicherheit bietet er.
- Plattformen wie GitHub und GitLab fördern durch Transparenz die Sicherheit.
- Es gibt Anreize, den Code auf diesen Plattformen auf Sicherheitslücken zu untersuchen und diese zu schließen.
- Open Source Code ist sicherer als Closed Source Code.
Transparenz ist der Schlüssel zu mehr Sicherheit in der Softwareentwicklung. Open Source fördert diese Transparenz und macht Software dadurch sicherer.