"...Darüber hinaus sind einige Verfechter von Open-Source-Software der Auffassung..."
Das ist doch typisch computerbase.de, erstens sind das nicht Einige, zweitens ist das Subjektiv. Drittens waere es objektiv einfach zu sagen dass Moziall OSS ist, und deswegen jeder Bugs im Quelltext suchen kann und das ohne aufwendige Dekompilierung oder Schuesse ins Blaue.
Aber der IE7 wird alles besser machen, gell ;-)
@6:
Sicherheitspatches werden auch bei OSS gesammelt, falls diese weniger kritisch sind und dann bei Gelegenheit mit einem dringenden Patch herausgebracht. Hochgefaehrliche Luecken werden zur Not auch im Bugzilla versteckt, gefixt, getestet und dann mit einer Mitteilung herausgegeben und der Bugzilla-Eintrag oeffentlich gemacht.
Security_by_Obsurity ist keine Loesung, es ist ein dreckiges und gefaehrliches Spiel mit dem Teufel, bleibt es aber in kontrollierten Rahmen ist es ein gute Moeglichkeit stabile Versionen vernuenftig zu verwalten.
Einzig mir bekanntes Gegenbeispiel ist der Linux-Kernel seit der Einfuehrung des Sucker-Trees, aber dieses Chaos geht inzwischen einigen zu weit und beruhigt sich jetzt wohl auch. Zudem greifen die Maintainer da jetzt wohl durch und bereiten ein Machtwort vor, die Entwickler sollen ihren Code besser durchchecken.
Das krasse Gegenbeispiel ist Microsoft, da werden hochgradig gefaehrliche Luecken in JPEG-Libs des IE einfach mal zwei Jahre verschwiegen, bis es dann zum GAU kommt. Und das trotz mehrfacher Aufforderung durch die Entdecker des Bugs.
Glaubt niemals eine Software waere sicher, pro 10.000 Zeilen Code gibts auch immer mehrere Fehler, und davor schuetzt euch keine Personal-Firewall und auch nicht die tollste Programmiersprache der Welt (nein: Java und C# auch nicht!).
Man kann die Sicherheit nur durch ein sauberes Design und gute Codequalitaet verbessern, und durch ein wachsamen vernuenftigen Umgang mit den entdeckten Fehlern.