DS2010 - 1.3

Datenspuren 2010
Mind the Gap

Referenten
Michael Roitzsch
Programm
Tag Samstag - 2010-10-16
Raum Kleiner Saal
Beginn 15:00
Dauer 01:00
Info
ID 4015
Veranstaltungstyp Vortrag
Sprache der Veranstaltung deutsch
Feedback

Die Mathematik des Verbergens

über die Vertrauenswürdigkeit von Open Source

Es ist schwieriger Fehler zu finden, wenn der Quellcode geheim ist. Aber mehr Leute suchen nach Fehlern, wenn der Quellcode offen ist. Diese gegenläufigen Effekte sind Dreh- und Angelpunkt der Frage, ob Offenheit Sicherheit befördert. Der Vortrag stellt ein probabilistisches Modell vor, welches den Vergleich der Sicherheit von quelloffener und geschlossener Software erlaubt.

Was ist sicherer: Software mit geheimem Quellcode oder Software mit offenem Quellcode? — Stellt man diese Frage einer zufällig gewählten Menge an computererfahrenen Probanden, sollte man sich auf einen Kampf um die einzig wahre Meinung einstellen.

Eine Hälfte der Gruppe wird für quelloffene Software argumentieren und behaupten, die ganze Welt wäre eine große, vereinte Fehlersuch-Armee, weil jeder Zugriff zum Quellcode hat. Dadurch werden Fehler schneller gefunden und Korrekturen schnell entwickelt und verbreitet, weil jeder sofort von bereitgestellten Verbesserungen profitieren kann.

Die andere Seite wird ebenso leidenschaftlich gegen quelloffene Software argumentieren und sie als qualitativ minderwertig darstellen. Ein gut organisierter Entwicklungsprozess verhindert viele Fehler von Anfang an und gut ausgestattete Abteilungen für Qualitätssicherung finden die verbliebenen noch bevor die Software die Firma verlässt. Offene Software wird als zusammengefrickelte Amateursoftware hingestellt, die für den produktiven Einsatz nicht bereit ist. Die Fehler in solcher Software sind für alle sichtbar und die Code Repositories damit eine Einladung an jeden Angreifer.

Die Wahrheit liegt wenig überraschend irgendwo zwischen diesen Extremen. Im Vortrag beschränken wir die breite Frage der relativen Sicherheit von quelloffener und geschlossener Software auf die Frage, wie und durch wen Fehler in Software gefunden wird. Wir benutzen ein probabilistisches Modell um quelloffene und geschlossene Software zu vergleichen und kommen dabei zu beunruhigende Schlussfolgerungen.