Tilhængere af open source-software har gennem tiden haft rig mulighed for at grine i krogene, mens rapporter om sikkerhedshuller i produkter fra Microsoft og andre leverandører af proprietær software har hobet sig op.
Orme som Code Red skabte sidste år kaos i mere end en MS Internet Information Service server. Brugerne af open source serveren Apache følte sig derimod sikre.
I juli sidste år opdagede eksperter imidlertid huller i OpenSSL, der bruges til sikre transmissioner på Apache-servere.
Få uger efter ramte ormen Slapper, der ikke bare udnyttede hullet til at installere en bagdør, men også lagde bunden for et så kaldt denial of service-angreb, hvor flere computere angriber én computer.
Hverken mere eller mindre sikre
Og for danske sikkerhedseksperter er ovenstående et eksempel på, at open source på trods af de mange myter hverken er mere eller mindre sikkert end produkter, som er udviklet bag lukkede døre.
En central sikkerhedsdiskussion i open source er spørgsmålet om full disclosure? eller fuld offentliggørelse.
Hvis der bliver fundet et sikkerhedshul i open source, bliver det offentliggjort helt ned til hvilke kodelinjer problemet er opstået i.
Fortalere for open source hylder dette som en overvældende fordel set i forhold til de patches, der kommer ud fra for eksempel Microsoft, fordi det giver mulighed for alle at rette på problemer, og det skulle give en meget hurtig respons, når først hullet er blevet offentliggjort.
Ifølge Ulf Munkedal fra Fort Consult er der dog også en bagside.
? Open source er på godt og ondt kendt for at lave full disclosure på sikkerhedsbrister. Spørgsmålet er så, hvor sundt det er at fortælle alt? Det er ikke kun dem med gode hensigter, der kan læse koden. Også dem med dårlige hensigter kan uden videre se problemet, siger han.
En anden udbred myte om sikkerhed og open source er, at der er mere sikkert, fordi al kode ligger frit tilgængelig, og det derfor er langt nemmere at opdage eventuelle fejl.
Samtidig skulle antallet af mennesker, der ser på koden give færre brister.
? Det er ikke rigtigt. Teoretisk skulle det være enormt nemt at se fejl, når du har koden, men den fylder så meget, at der som regel ikke er nogen - eller i hvert fald meget få - der gør sig det besvær at se alt igennem. Samtidig sker der lige så mange menneskelige fejl i kodningen, som i proprietær software, siger Ulf Munkedal.
Hvor kommer koden fra?
Spørgsmålet er så, hvad virksomheder, der overvejer open source produkter i deres virksomheds IT-miljø skal være opmærksomme på i forhold til sikkerhed.
? Med open source software er der ikke nødvendigvis én leverandør, du kan henvende dig til, hvis der skulle opstå sikkerhedsproblemer. Det skal man selvfølgelig være opmærksom på, siger Ulf Munkedal.
Han anbefaler, at man henter software fra steder, der er 100 procent troværdige.
? Man har set flere eksempler på, at der har været indbrud de steder, hvor softwaren ligger, og at der er blevet ændret i koden og for eksempel installeret en bagdør i programmerne, siger han.
Det afgørende for et sikkert open source-miljø er dog i følge Ulf Munkedal, at det sættes rigtigt op.
? Der er ingen forskel i sikkerhedsniveauet på open source og propreitær software. I sidste ende er det, der virkelig har betydning for sikkerheden, den måde du konfigurerer på, siger han.
Hos sikkerhedsvirksomheden Protego opfordrer teknisk chef Peter Vestergaard til, at virksomheder overvejer open source på lige fod med alle andre produkter.
? Sikkerhed skal ikke være argumentet for at vælge open source-produkter fra, og det sker desværre alt for tit. Det er en af mine kæpheste, at det skal tages ind i overvejelserne på samme vilkår som alt andet software, siger han.
Denne artikel stammer fra avisen Computerworlds særtillæg om open source
Relevant link
http://www.idc-analyse.dk/" target="_new">Læs om IDC-analysen 'Open source - myter og realiteter.
