Archiv für den Monat: März 2016

SAP Chief Security Officer will nicht für deren Open-Source Software verantwortlich sein

Justin Somaini, der neue Chief Security Officer bei SAP, wird im Handelsblatt zitiert:

„Open Source bedeutet auch, dass niemand wirklich verantwortlich ist, Fehler zu finden oder zu beheben.“

Das ist eine schlechte Nachricht für SAP Kunden. Denn auch SAP verbaut jede Menge Open-Source Software vom Java OpenJDK bis zu jQuery. Und ja, wie in jeder Software werden auch in Open-Source Software Sicherheitslücken gefunden.

Als Kunde gehe ich davon aus, dass sich mein Lieferant um die Sicherheit seiner Produkte kümmert. In dem er die bekannten Lücken schließt. Und das möglichst proaktiv.

Wenn der Chief Security Officer eines großen Softwareunternehmens für sicherheitskritische Komponenten seiner Produkte keine Verantwortlichen benennen kann, dann hat er wohl seine Hausaufgaben nicht gemacht.

Andere Unternehmen schaffen das. Andere Unternehmen haben verstanden, dass Open-Source Software nicht einfach vom Himmel fällt. Und begleiten deren Entwicklung mit eigenen Entwicklern, oder bezahlen andere dafür, damit die das tun. Erst durch den Support wird aus Open-Source Software ein marktfähiges Produkt.

Manche Kollegen von Justin Somaini bei SAP haben das übrigens schon länger verstanden: Unter http://scn.sap.com/docs/DOC-29056 schreibt sein Kollege Matthias Steiner: „SAP contributes actively to a number of Open Source projects.“, und zählt darunter namhafte Open-Source Projekte auf.

http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-irgendwann-machen-sie-alle-einen-fehler/13052788-2.html