<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>
<p>Hallo Julia,</p>
<p>Das ist eines der Vorurteile mit denen Open Source software zu kämpfen hat. Aber Security ist ein wichtiges Thema für das QGIS-Projekt, welches sehr ernst genommen wird.</p>
<p>Wir haben eine allgemeine Info-Seite zum Thema Security: <a href="https://www.qgis.org/resources/support/security/">https://www.qgis.org/resources/support/security/</a> - wenn ein Sicherheitsproblem gefunden wurde, kann es über ein privates Github-Repository gemeldet und diskutiert werden - und es gibt eine QGIS Security Email-Liste von Kern-Entwicklern die sich um Sicherheitsprobleme kümmert. Es ist wichtig, dass gemeldete Sicherheitsprobleme nicht sofort veröffentlicht werden, damit das QGIS-Team die Gelegenheit hat die Fehler zu beheben, bevor das Problem veröffentlicht und bekannt wird uns es somit zu Exploits kommt.</p>
<p>Sicherheitsprobleme können auch von Libraries stammen die von QGIS verwendet werden (wie GEOS, GDAL, OGR, Proj, Datenbanktreiber, Qt, etc.). Diese haben ebenfalls etablierte Prozesse bezüglich der Behebung von Sicherheitsproblemen - genau gleich wie kommerzielle Software-Provider auch. Wenn das QGIS-Team Sicherheitsproblem in Software-Libraries findet, wird es an diese weitergemeldet und dann wird QGIS neu paketiert, basierend auf den neuen Versionen der Libraries in denen das Problem behoben wurde.</p>
<p>Wir haben auch eine fixe Road Map: <a href="https://www.qgis.org/resources/roadmap/#release-schedule">https://www.qgis.org/resources/roadmap/#release-schedule</a> und einen etablierten bug-fixing Prozess. Vor jedem neuen QGIS Release wird ein Monat (vor einer LT-Version sogare anderthalb Monate) damit zugebracht Fehler zu behen - einschliesslich Sicherheitsprobleme. Sicherheitsprobleme, Crashes und Datenverlust haben immer Top-Priorität gegenüber anderen bug fixes. Wie in der Road Map ersichtlich, gibt es jeden Monat einen fixen Release für bug fixes und für dieBehebung von Sicherheitsproblemen. Bei gravierenden Sicherheitsproblemen (wie sie bisher zum Glück selten aufgetreten) wird auch eine Zwischenversion eingeschoben.</p>
<p>Zu kommerziellem Support: es gibt kommerzielle Supportfirmen in Mitteleuropa und in Deutschland (Suche nach "Germany" in der Liste) die sich um neue Features, Bug Fixing und Sicherheitspatches kümmern: siehe <a href="https://www.qgis.org/resources/support/commercial-support/">https://www.qgis.org/resources/support/commercial-support/ </a>- aber gegenüber traditionellen komerziellen Software-Providern wird hier die Verantwortung zwischen verschiedenen Firmen weltweit und dem QGIS-Projekt selber aufgeteilt - so stehen insgesamt sogar mehr Experten zur Verfügung als bei so mancher kommerzieller Software-Firma, weil es sich um einen ganzen Pool von Firmen mit verschiedenen Software-Spezialisten handelt.</p>
<p>Bei konkreteren Fragen zur Sicherheit in QGIS stehen wir (das QGIS Board/PSC) und/oder die Kernentwickler gerne zur Verfügung und hoffen mit den obigen Ausführungen die Bedenken bezüglich der Sicherheit ausgeräumt zu haben.Die verantwortlichen IT-Personen beim Bund können sich aber auch gerne direkt an uns wenden um offene Fragen zu klären oder Bedenken zu besprechen.</p>
<p>Dafür sollten die Emails: <a href="mailto:board@qgis.org">board@qgis.org</a> oder <a href="mailto:psc@qgis.org">psc@qgis.org</a> verwendet werden.</p>
<p>Freundliche Grüsse,</p>
<p>Andreas Neumann<br />QGIS.ORG PSC and board member</p>
<p><br /></p>
<p id="reply-intro">On 2024-09-30 12:39, Wehrle, Julia, 62G NUN via QGIS-DE wrote:</p>
<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0">
<div class="pre" style="margin: 0; padding: 0; font-family: monospace">Liebe QGIS-Community,<br /><br />um auf dem Gebiet der Visualisierung von ACLED-Daten mit europäischen Partnerbehörden gleichziehen zu können, wollten einige Kolleg:innen und ich uns mit der Anwendung von QGIS vertraut machen. Leider sind wir bereits am ersten Schritt, der Installation, gescheitert, da diese von unserem IT-Sicherheitsbeauftragten nicht genehmigt wurde. Begründung: Es gebe keine Firma, welche die Softwarepflegeservices rund um QGIS anbietet, die erforderlich wären, um zu verhindern, dass QGIS nach der einmaligen Paketierung und Installation über die Zeit zum Sicherheitsrisiko wird.<br /><br />Kann mir hierzu jemand etwas sagen? Ist das so wie oben beschrieben bzw. kennt jemand Lösungen für dieses Problem?<br /><br />Vielen Dank und viele Grüße<br /><br />Julia</div>
<br />
<div class="pre" style="margin: 0; padding: 0; font-family: monospace">_______________________________________________<br />QGIS-DE mailing list<br /><a href="mailto:QGIS-DE@lists.osgeo.org">QGIS-DE@lists.osgeo.org</a><br /><a href="https://lists.osgeo.org/mailman/listinfo/qgis-de" target="_blank" rel="noopener noreferrer">https://lists.osgeo.org/mailman/listinfo/qgis-de</a></div>
</blockquote>
<p><br /></p>

</body></html>