Bemerkenswerte Aussagen in der Sicherheitsstudie Content Managment Systeme (CMS) des deutschen BSI

In den letzten Tagen hat das deutsche Bundesamt für Sicherheit in der Informationstechnik eine Studie zur Sicherheit von Open Source CMS veröffentlicht. Viel wurde darüber diskutiert und getwittert. Geschrieben wurde die Studie von Leuten der ]init[ einer Agentur welche nicht ausschliesslich aber doch vornehmlich für bundesnahe Firmen arbeitet. Als weitere Autoren werden Mitarbeiter des Frauenhofer-Institut für Sichere Informationstechnologie angegeben.

Die Details der Studie sind schon breit kommentiert worden, das möchte ich hier nicht noch einmal wiederholen. In der Zusammenfassung der Studie (die von mir aus gesehen an den Anfang gehört) findet sich jedoch folgender bemerkenswerte Passus;

„Zuerst darf festgestellt werden, dass die betrachteten Open Source Projekte nachweislich einen Sicherheitsprozess implementiert haben. Die Software hat Produktcharakter mit einem veröffentlichten Releaseplan, einem transparenten Bugtracker etc. Die Umsetzung eines Sicherheitsprozesses entspricht dem Stand der Technik, den selbst viele unter Zeitdruck erstellte kommerzielle Softwarepakete nicht erreichen. Die resultierende Software ist – gemessen an ihrer Funktionalität und der daraus resultierenden Komplexität – eine gute Wahl für einen Dienstanbieter.“

Und weiter:

Die Struktur und der Informationsgehalt bei der Veröffentlichung von Schwachstellen sind bei Drupal, TYPO3, Joomla! (feed) und Plone musterhaft…“

Diesen Abschnitt kopier ich mir für spätere Diskussionen bezüglich Sicherheit in OpenSource CMS. Viel klarer und direkter kann man es wohl nicht sagen.

Die ganze Studie kann hier heruntergeladen werden.

 

 

Artikel auf Social Media teilen:

Schreibe einen Kommentar

Deine E-Mail Adresse wird nicht veröffentlicht. Bitte mache folgende Angaben: Dein Name, Deine E-Mail Adresse und Dein Kommentar.