Bugfixes für Open-Source-Software schneller verfügbar als für "Kommerzware"

Fehler in Open-Source-Software werden schneller behoben als solche in kommerziellen, auf herkömmliche Weise vertriebenen Programmen – diese verbreitete Erwartung findet sich durch eine Studie bestätigt, die vom Team des Security Portal Weekly Newsletter durchgeführt wurde.

Die Untersuchung umfasst alle sicherheitsrelevanten Patches der Firmen Microsoft, RedHat und Sun Microsystems im Jahr 1999. Die Initiatoren haben absichtlich Maßnahmen eines Open-Source-Distributors in die Statistik aufgenommen und nicht die Veröffentlichung der zu Grunde liegenden Bugfixes im Internet. IT-Profis, an die sich die Studie richtet, verlassen sich nämlich nach Auffassung der Autoren sicherheitshalber meist auf die Vertriebskanäle ihrer Software-Lieferanten.

Nach Analyse von 100 Fällen bei allen drei Unternehmen erscheint RedHat als der schnellste Supporter mit einer durchschnittlichen Karenzzeit von 11,2 Tagen bei 31 gemeldeten Bugs. Die entsprechende Reaktionszeit der Vertreiber von "Kommerzware" liegt bei 24,6 Tagen. Microsoft bringt es für sich betrachtet auf 16,1 Tage. RedHat hätte, glaubt man der Erläuterung in der Studie, doppelt so schnell sein können, wenn die Firma nach der Veröffentlichung von Patches Dritter nicht so lange für die Erstellung ihrer RPM-Dateien bräuchte. Auch den beiden anderen Softwarehäusern unterstellt die Studie Verbesserungspotenzial. Die Autoren bleiben hier aber auf Spekulationen angewiesen und halten auch zeitraubende Qualitätssicherungsmaßnahmen bei diesen Firmen für einen möglichen Verzögerungsgrund. Allerdings geben sie auch an, dass Microsoft 1999 immerhin fünfmal Patches wegen Folgefehlern nachbessern musste.

Die Verfasser der Studie nehmen keine wissenschaftlichen Ziele für sich in Anspruch, bemühen sich aber mit folgenden Definitionen um Objektivität:

Alle Bugs, die von einer arrivierten Hackergruppe oder Mailing-List, einem CERT-Advisory oder vom Hersteller selbst veröffentlicht wurden, gelten als gleich wichtig.

Die Autoren betrachten den Zeitraum von einer solchen Veröffentlichung bis zum Erscheinen des Fixes als das kritische Zeitfenster. Das ist die Zeit des größten Risikos, in der auch unbedarfte Störenfriede mit kursierenden Bug-Exploits Schaden anrichten können. Daher tauchen in der Statistik auch Fälle auf, in denen ein Hersteller private Hinweise auf einen Bug erhielt und diesen dann erst an dem Tag bekannt gab, an dem er auch mit der Lösung auf den Markt kam.

Die Studie macht ausdrücklich keine Aussage über Vorzüge oder Nachteile der betroffenen Betriebssysteme, etwa anhand der gemeldeten Sicherheitslöcher. Auch die Qualität angebotener Patches bleibt unberücksichtigt. Die amerikanische Studie geht auch nicht darauf ein, dass Upgrades etwa von Microsoft oftmals zuerst nur für englischsprachige Programme erscheinen. Wer beispielsweise eine deutsche Programmversion betreibt, muss mitunter noch länger warten, bis er den passenden Patch in die Hände bekommt.

Schließlich enthält die Studie auch den Hinweis, dass zu einer guten Systemverwaltung mehr als nur guter Software-Support gehört. Viele Problemmeldungen tauchen nämlich auf, obwohl es bereits Lösungen für die genannten Fehler gibt. (hps)