On Fri, 7 Apr 2017 10:00:43 +0200 Matthias Kirschner mk@fsfe.org wrote:
- Bewertbarkeit von Sicherheit durch Dritte
Das ist imho ein entscheidender Punkt. Proprietäre Software kann nur so sicher sein wie der Hersteller es bereit ist zuzulassen. Bei freier Software können Dritte - auch gegen den Wunsch des Herstellers - ein Audit veranlassen o.ä..
Dabei auch wichtig: Zwar ist es ebenfalls möglich, dass bei proprietärer Software Dritte nach Sicherheitslücken suchen, aber es bestehen zahlreiche Möglichkeiten der Bug-Suche nicht, die Sourcecode voraussetzen. Gerade bei modernen Bug-Finding-Tools (Coverage-basiertes Fuzzing, C Sanitizer) ist Sourcecode häufig die Voraussetzung.
- Rechtliche Verantwortung
Rechtliche Verantwortung für Sicherheitslücken gibt es de facto nie, da es keine Softwarehaftung gibt, unabhängig davon ob es proprietäre oder freie Software ist. (Anmerkung: Auch bei Sicherheits-Zertifizierungen gibt es praktisch nie rechtliche Verantwortung, weder für den Hersteller noch für die Zertifizierungsstelle.)