1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Remote Code Execution: Doppelte…

OpenSource

  1. Thema

Neues Thema


  1. OpenSource

    Autor: CraWler 20.08.19 - 13:48

    Ist also doch nicht davor sicher das dort Hintertüren untergebracht werden. Wenn man bedenkt aus wie vielen Komponenten eine 0815 Linux Distribution zusammen gesetzt ist dürfte da vermutlich so einiges an "versteckten" Sicherheitslücken zu finden sein.

  2. Re: OpenSource

    Autor: Katsuragi 20.08.19 - 14:18

    Korrekt. Und in einem proprietären Produkt wäre das zusätzlich noch totgeschwiegen worden.
    Perfekt ist nichts. Der OSS-Ansatz ist meiner Meinung nach dennoch richtig.
    Problematisch ist (gerade bei OSS) die Komplexität heutiger Software-Projekte, die sich selbst in einfachen Fällen aus hunderten oder sogar tausenden anderen Libraries, Plugins etc. zusammen setzen. Das kann eigentlich keiner mehr überblicken und so kann es auch nur in einem Sicherheitsalptraum enden. *seufz*

  3. Re: OpenSource

    Autor: netzwerkadmin 20.08.19 - 14:36

    CraWler schrieb:
    --------------------------------------------------------------------------------
    > Ist also doch nicht davor sicher das dort Hintertüren untergebracht werden.
    > Wenn man bedenkt aus wie vielen Komponenten eine 0815 Linux Distribution
    > zusammen gesetzt ist dürfte da vermutlich so einiges an "versteckten"
    > Sicherheitslücken zu finden sein.

    Erzähl uns was neues

    Der Unterschied ist dass sie wirklich zu finden und zu fixen sind, nicht nur von den bad-guys während bei closed-source abseits von bug-bounty Programmen eigentlich nur eine Gruppe einen finanziellen Vorteil hat Lücken zu finden und der Hersteller einen Teufel tun wird Aufwand in etwas zu stecken wofür er keine Rechnung schreiben kann

  4. Re: OpenSource

    Autor: HeroFeat 20.08.19 - 14:37

    Aber es ist eben doch aufgefallen. Aber das die Maintainer auf die vor einem Jahr entdeckten Unstimmigkeiten was den Code in den Releases und auf GitHub angeht reagiert haben lässt ja schon fast Mutwilligkeit von deren Seite aus vermuten. Einzig was mich davon abhält ist die Annahme, das sie es besser versteckt hätten, hätten sie es tatsächlich gewollt.

    Aber es ist eben aufgefallen. Das wäre es bei einem Closed Source Produkt nicht. Und reproduzierbare Builds werden ja doch gerade ims Open Source Umfeld immer üblicher.

    Jetzt muss nur noch daran gearbeitet werden, wie man auf solche Unstimmigkeiten reagiert (in manchen Projekten).

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. DevOps - Engineer BMC Helix ITSM - Remedy (m/w/div)
    Deutsche Rentenversicherung Bund, Berlin
  2. Linux Administrator*in (m/w/d)
    Humboldt-Universität zu Berlin, Berlin-Adlershof
  3. IT-Projektmanager:in in der Softwareentwicklung (m/w/d)
    STRABAG BRVZ GMBH, Wien, Spittal/Drau, Villach, Stuttgart
  4. Application Manager (w/m/d)
    ING Deutschland, Frankfurt am Main

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de