Open Source bietet hohes Maß an IT-Sicherheit Community garantiert schnelle Update-Zyklen
6. Juni 2017Open Source hat sich als herausragende Architektur und Motor für Innovation etabliert. Flankiert durch einen umfassenden Hersteller-Service und -Support findet sich Open-Source-Software in Betriebssystemen und Applikationen sowie in Big-Data- und Mobile-Computing-Anwendungen. Mehr als jedes zweite Unternehmen nutzt Open-Source-basierte Lösungen in seiner produktiven IT-Umgebung, so das Ergebnis der aktuellen Studie „Future of Open Source“.
Community liefert
Kronzeugen für die Sicherheit von Open Source sind Cloud Provider. Die große Mehrheit vertraut auf Open-Source-Software und nutzt Linux als Herzstück der IT-Infrastruktur. Wo es um Sicherheit und Verfügbarkeit geht, liefert Open Source die entscheidenden Fundamente. Der Open-Source-KVM (Kernel-based Virtual Machine)-Hypervisor etwa befindet sich laut einer aktuellen Umfrage unter der OpenStack Community in rund 60 Prozent der produktiv genutzten OpenStack-Umgebungen für Open-Hybrid Cloud-Infrastrukturen; weitere 20 Prozent nutzen ihn im DevOps-Bereich.
Ein wichtiger Grund für die hohe Softwaresicherheit ist der offene Umgang mit Sicherheitsfragen. Viele Unternehmen steuern Beiträge zu Open-Source-Projekten bei, da sie den Multiplikatoreffekt der Community von Entwicklern schätzen und gleichzeitig von Erweiterungen, Fehlerbehebungen, Ergänzungen und Verbesserungen profitieren können. Hier kommt der umfangreiche Erfahrungsschatz der großen Zahl engagierter Open-Source-Entwickler aus der Community und den Unternehmen zum Tragen. Geht es um IT-Sicherheit, bietet der Open-Source-Ansatz zahlreiche Möglichkeiten, Sicherheitsschwachstellen und -risiken frühzeitig zu erkennen und Lösungsmöglichkeiten zu entwickeln.
Die Produkte von Red Hat beispielsweise enthalten oft eine Vielzahl individueller Pakete, die wiederum auf Software aus Upstream-Projekten basieren. Da viele Entwickler an diesen Projekten beteiligt sind, ist allein dadurch schon eine frühzeitige Entdeckung möglicher Schwachstellen gegeben. Durch die enge Zusammenarbeit zwischen den Anbietern umfänglich unterstützter Open-Source-Lösungen und den Upstream-Projekten der Community können Sicherheitsupdates und Patches sehr schnell abgestimmt, zügig bereitgestellt und implementiert werden. Bei proprietärer Software dagegen gibt es in der Regel nur zu festen Terminen Patches für Sicherheitsschwachstellen in Betriebssystemen und Applikationen.
Das Handling und Management von Schwachstellen in Tausenden von Third-Party-Softwarekomponenten ist für Anbieter von Open-Source-Lösungen eine anspruchsvolle Aufgabe, die sich am besten nach einem Verfahren auf Gegenseitigkeit bewältigen lässt. Entwickler aus der Community melden beispielsweise Schwachstellen an Red Hat. Ein eigenes Product Security Team analysiert die Meldungen und bewertet die Schwachstellen nach einer vierstufigen Skala: niedrig, moderat, wichtig, kritisch. Das größte Sicherheitsrisiko bilden die kritischen Schwachstellen. Red Hat nutzt diese Skala, um die internen Ressourcen zu priorisieren und die kritischsten Schwachstellen zeitnah und sachgerecht zu schließen.
DevOps bringt Sicherheit
Die Sicherheit bei den eingesetzten Betriebssystemen, der Infrastruktursoftware und den Applikationen zu gewährleisten und zu verbessern, ist die eine Seite der Medaille; die andere besteht darin, IT-Sicherheit als Kernstück in neue Applikationen einzubetten. Dazu ist eine optimale Abstimmung zwischen den Fachbereichen und der IT sowie zwischen Entwicklung und Betrieb – zusammengefasst mit dem Begriff DevOps – erforderlich. DevOps verbindet IT-Entwicklung und Betrieb und schafft die Basis für eine schnelle, schrittweise und sichere Bereitstellung von Software. Sie folgt dem Modell einer kontinuierlichen Integration und Implementierung.
Organisatorisch ist dazu der Aufbau interdisziplinärer Teams erforderlich; die bisher übliche Trennung in Entwicklung und Betrieb ist aufgehoben. Jedes Teammitglied ist für bestimmte Komponenten wie Konzeption, Einbettung der Sicherheitsregeln, Programmcode erstellen, Test oder Inbetriebnahme zuständig. Das bedeutet eine Abkehr vom bisherigen Modell, bei dem Betrieb und Entwicklung unter-schiedliche Ziele verfolgten.
Stark vereinfacht ausgedrückt, konzentrierte sich der IT-Betrieb auf eine möglichst hohe Verfügbarkeit sowie stabile und kosteneffiziente Abläufe. Die Entwicklung befasste sich mit der möglichst schnellen Bereitstellung neuer Funktionen und Anwendungen sowie der Umsetzung kurzfristig geänderter Spezifikationen. Bei dieser Art der Arbeitsteilung geriet die Berücksichtigung der IT-Sicherheit nicht selten zu einer Aufgabe, die keine hohe Priorität hatte und eher nebenbei erledigt wurde. Zusammenfassend ermöglicht es der DevOps-Ansatz, IT-Sicherheit von Anfang an zu einem integralen Bestandteil der Entwicklungs- und Betriebsprozesse zu machen und damit ein höheres Sicherheitsniveau über den gesamten Lebenszyklus hinweg zu erzielen.
Product Security Risk Report
In seinem Product Security Risk Report 2015 gibt Red Hat einen Einblick in Sicherheitsrisiken und Schwachstellen der eigenen Produkte und schildert Maßnahmen zur deren Beseitigung. Das Unternehmen veröffentlichte im Jahr 2015 insgesamt 112 kritische Sicherheitshinweise, die sich mit 373 kritischen Schwachstellen befassten. Für 96 Prozent der als kritisch eingestuften Schwachstellen in Red Hat Enterprise Linux etwa gab es noch am gleichen oder am nächsten Tag ein Patch. Spätestens eine Woche nach Bekanntwerden waren 99 Prozent aller kritischen Sicherheitsschwachstellen in den Produkten von Red Hat geschlossen.
Matthias Pfützner
ist Senior Solution Architect, Account & Cloud – DA(CH) bei Red Hat.
Hier geht es zu Red Hat