So gut schläft man mit Open Source

So gut schläft man mit Open Source

9. Februar 2014 - Von Dr. Marcus Holthaus

Im Zusammenhang mit Open Source Software wird viel über Unabhängigkeit und Kosten diskutiert. Nur selten wird über das Thema Security gesprochen. Doch wie sicher ist OSS?
Artikel erschienen in IT Magazine 2014/01
Ausschnitt aus dem Source Code des aktuellen Linux-Kernels für Disk Encryption (cryptoloop.c). Wer versteht die paar Zeilen? (Quelle: IMSEC)
Wenn ein Schüler bei der Lösung einer Prüfungsaufgabe den falschen Lösungsweg wählt, aber dennoch das richtige Ergebnis erzielt, soll er dann vom Lehrer die volle Punktzahl für seine Lösung erhalten oder nur einen Teil oder gar keine Punkte? Das hängt davon ab, wie die Prüfung aufgesetzt wurde: Im «Multiple Choice»-Stil zählt nur das richtige Ergebnis – also der Effekt – während bei der Beurteilung nach Verständniskriterien auch dann eine hohe Punktzahl möglich ist, wenn der Algorithmus richtig, das Rechenergebnis aber falsch ist. Den Lösungsweg zu evaluieren ist für den Lehrer aber ungleich aufwendiger, als nur das Ergebnis zu prüfen.
Bei der Diskussion über Softwarequalität ist das ähnlich. In der Regel sind wir nur am offensichtlichen Effekt interessiert, den die Software auslöst – das mag ein Rechenergebnis sein oder eine Übermittlung oder aber das Auslesen einer Datenbank zur Erstellung eines Berichts. Wir sind nur selten an den Seiteneffekten interessiert, also an denjenigen Aktivitäten, die ein Programm zusätzlich durchführt, beispielsweise der Übermittlung von statistischen Daten an den Softwarehersteller, oder der Abfrage ganzer Verzeichnisbäume aus dem angeschlossenen Active Directory, wenn doch nur einzelne Zugriffe notwendig wären.
Wenn wir solche unerwünschten Abweichungen vermuten, können wir ein Programm «unter Quarantäne» stellen, also im Sinne einer «Black Box»-Prüfung alle Ein- und Ausgänge beobachten. Dennoch werden wir so nie feststellen können, ob es sich beim verdächtigen Verhalten nur um einen Programmierfehler oder um eine absichtliche Fehlfunktion handelt, und auch in Quarantäne sind wir darauf angewiesen, dass die unerwünschten Funktionen aktiv werden, um sie überhaupt beurteilen zu können. Wenn wir wirklich wissen sollen, was in einem Programm vorgeht, benötigen wir den Source Code, und müssen ihn analysieren.
 
Seite 1 von 4

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER