Schwachstellen im Code: Warum Transparenz und Enterprise-Lizenzen Sicherheit bringen
Sicherheitslücken sind in komplexer Software nie vollständig auszuschließen, unabhängig davon, ob sie Open Source oder proprietär ist. Entscheidend ist aber der Umgang damit. Unser Security-Team von OpenCloud hat eine Schwachstelle bei Public Links entdeckt und diese mit CVSS 8.2 (High) bewertet. Eine Lücke, die gerade beim Einsatz im professionellen Umfeld, sofortiges Handeln erfordert.
In einem solchen Moment zählt Transparenz und Schnelligkeit gegenüber Kunden und der Community. Und genau das ist die Stärke und DNA von Open Source-Software gegenüber proprietären Lösungen. Denn in Open-Source-Projekten sind Informationen zu Betroffenheit, Maßnahmen und Fixes stets öffentlich nachvollziehbar, Transparenz ist Teil der Sicherheitskultur von Open Source-Software und eine Selbstverständlichkeit.
Der aktuelle Fund unseres Security-Teams wurde nach Responsible-Disclosure-Prinzipien behandelt: zuerst koordinierte Klärung und Fix, anschließend Veröffentlichung mit Patch und klaren Update-Hinweisen. Dieser Prozess legt den Fokus auf die Sicherheit der Anwendenden.
Zusammenarbeit im Open-Source-Ökosystem
Auch im Wettbewerb ist bei Open-Source-Projekten ein guter kollegialer Austausch zwischen den Projekten selbstverständlich, da verschiedene Projekte auf gemeinsamen Code-Bestandteilen basieren können. In diesem Fall hat die Zusammenarbeit zwischen den beteiligten Maintainer-Teams sehr gut funktioniert: OpenCloud hat die Schwachstelle erkannt und sofort mit der Analyse und dem Fix begonnen. Parallel haben wir sowohl das Kernforschungszentrum CERN als auch den ownCloud-Hersteller Kiteworks informiert (aus deren Code-Basis das Problem ursprünglich stammt). Wo nötig, wurde der Security-Fix gemeinsam gecheckt und so umgesetzt, dass er in der jeweiligen Codebase zuverlässig ausrollbar ist. So konnte sichergestellt werden, dass alle Betroffenen ihren Code sichern konnten und auch Kundeninstallationen, wie beispielsweise die BayernCloud Schule (ByCS), durch das Finding von OpenCloud wieder sicher sind.
Mit Enterprise-Support verantwortungsvoll Infrastruktur absichern
Die heutigen Anforderungen, egal ob auf Basis von KRITIS, NIS2 oder „nur“ aus Sicht des verantwortungsvollen IT-Betriebs und der Business-Continuity, erfordern eine jederzeit verlässliche Sicherheitslage der eingesetzten Software. Sicherheitslücken werden heutzutage so flächendeckend und automatisiert ausgenutzt, dass jede Minute zählt.
Open Source Software geht hier mit Transparenz und klaren Disclosure-Prozessen voran. Aber nur Enterprise-Lizenzen mit den Herstellern ermöglichen sichere vertrauliche Kommunikationskanäle im Vorfeld und versorgen Kunden zuverlässig mit geprüften Patches bei ausreichender Vorlaufzeit um diese koordiniert einzuspielen, bevor das Sicherheitsproblem veröffentlicht wird.
Nutzen Sie die Kompetenz unseres Security-Teams und sichern Sie ihren eigenen IT-Betrieb ab! Informationen zu Lizenzen und Support finden Sie hier, auf Anfrage steht Ihnen unser Team auch gerne persönlich beratend zur Verfügung.
