On Fri, 7 Apr 2017 10:00:43 +0200 Matthias Kirschner <[email protected]> wrote:
> - Bewertbarkeit von Sicherheit durch Dritte Das ist imho ein entscheidender Punkt. Proprietäre Software kann nur so sicher sein wie der Hersteller es bereit ist zuzulassen. Bei freier Software können Dritte - auch gegen den Wunsch des Herstellers - ein Audit veranlassen o.ä.. Dabei auch wichtig: Zwar ist es ebenfalls möglich, dass bei proprietärer Software Dritte nach Sicherheitslücken suchen, aber es bestehen zahlreiche Möglichkeiten der Bug-Suche nicht, die Sourcecode voraussetzen. Gerade bei modernen Bug-Finding-Tools (Coverage-basiertes Fuzzing, C Sanitizer) ist Sourcecode häufig die Voraussetzung. > - Rechtliche Verantwortung Rechtliche Verantwortung für Sicherheitslücken gibt es de facto nie, da es keine Softwarehaftung gibt, unabhängig davon ob es proprietäre oder freie Software ist. (Anmerkung: Auch bei Sicherheits-Zertifizierungen gibt es praktisch nie rechtliche Verantwortung, weder für den Hersteller noch für die Zertifizierungsstelle.) -- Hanno Böck https://hboeck.de/ mail/jabber: [email protected] GPG: FE73757FA60E4E21B937579FA5880072BBB51E42 _______________________________________________ FSFE-de mailing list [email protected] https://lists.fsfe.org/mailman/listinfo/fsfe-de
