Und das ist auch das Problem. Die Zahl der externen OSS Bibliotheken, die wir in unseren Projekten nutzen, ist Mind Blowing. Und genau da liegt das Problem. Ich fürchte, das wird uns allen mal ganz böse auf die Füße fallen.
OK, wenn Du Open Source so verstehst, dass jemand für Produktivsysteme
ohne jede Prüfung einfach fremden Code von Github nutzt, und
hofft, dass er keine Lücken hat, weil er Open Source ist, dann ist zwar der Angriffsvektor noch immer der gleiche, aber dann stimme ich zu, dass eine Sicherheitsprüfung fehlt, die vermutlich andernfalls durch Firmen stattfindet. Aber
wer das tut, dem kann denke ich,
keiner helfen!
In der Wirtschaft setzt sicherlich kein erfolgreiches Unternehmen eine anonyme Hobby-Distribution XYZ ein, die irgendwer zusammengebastelt hat und "hofft", dass sie sicher ist. Wenn Du z.B. in der Cloud virtuelle Maschinen erstellst, die dann tatsächlich direkt und ohne VPN per SSH zugänglich sind und damit Geld verdienst, dann wählst Du als Unternehmen eine Profi-Distribution aus, z.B. SUSE Linux Enterprise oder Red Hat Enterprise Linux, etc. Und dann zahlst Du für Support (im Vergleich zu den Kosten für die reine Hardware einen geringen Aufpreis). Dass die Prüfungen, die die dahinterstehenden Distributoren durchführen, diese Lücke nicht erkannt hätten, bevor sie in die Produkte gekommen wäre, ist auch nur eine Vermutung, die wir sicherlich hier nicht beantworten können.
Ich denke, dass hier das Missverständnis liegt. Open Source ist nicht gleichbedeutend mit gratis. Open Source is auch nicht gleichbedeutend mit Vertrauen. Open Source ist nicht einmal gleichbedeutend mit einer freien Lizenz für den Code (wobei die meisten Distributionen das natürlich erfordern und es für die Zusammenarbeit wünschenswert ist). Open Source an sich ermöglicht die
unabhängige Code-Prüfung. Der Rest ist in der Praxis erst einmal genau gleich zu Closed Source Code und niemand wird davon entbunden, die entsprechenden Prüfungen durchzuführen oder durchführen zu lassen und ggf. zu bezahlen.
Für den Privatbereich (Gamingsysteme usw.) sehe ich das etwas anders. Da kann man hinter seiner Firewall etwas mehr wagen, da man seine Systeme ja nicht direkt ins Internet stellt (Edit: und ich den Schutz durch die unabhängige Prüfungsmöglichkeit auch höher einschätze als durch jede intransparente, unternehmensinterne Prüfung). Aber trotzdem schaut man da vermutlich, dass man sich nicht alles Mögliche auf den Rechner zieht, ohne dass dahinter zumindest eine handfeste Basis steht.