[QGIS-DE] QGIS = Sicherheitslücke?

Andreas Neumann a.neumann at carto.net
Mo Sep 30 06:03:59 PDT 2024 


Hallo Julia,

Das ist eines der Vorurteile mit denen Open Source software zu kämpfen 
hat. Aber Security ist ein wichtiges Thema für das QGIS-Projekt, welches 
sehr ernst genommen wird.

Wir haben eine allgemeine Info-Seite zum Thema Security: 
https://www.qgis.org/resources/support/security/ - wenn ein 
Sicherheitsproblem gefunden wurde, kann es über ein privates 
Github-Repository gemeldet und diskutiert werden - und es gibt eine QGIS 
Security Email-Liste von Kern-Entwicklern die sich um 
Sicherheitsprobleme kümmert. Es ist wichtig, dass gemeldete 
Sicherheitsprobleme nicht sofort veröffentlicht werden, damit das 
QGIS-Team die Gelegenheit hat die Fehler zu beheben, bevor das Problem 
veröffentlicht und bekannt wird uns es somit zu Exploits kommt.

Sicherheitsprobleme können auch von Libraries stammen die von QGIS 
verwendet werden (wie GEOS, GDAL, OGR, Proj, Datenbanktreiber, Qt, 
etc.). Diese haben ebenfalls etablierte Prozesse bezüglich der Behebung 
von Sicherheitsproblemen - genau gleich wie kommerzielle 
Software-Provider auch. Wenn das QGIS-Team Sicherheitsproblem in 
Software-Libraries findet, wird es an diese weitergemeldet und dann wird 
QGIS neu paketiert, basierend auf den neuen Versionen der Libraries in 
denen das Problem behoben wurde.

Wir haben auch eine fixe Road Map: 
https://www.qgis.org/resources/roadmap/#release-schedule und einen 
etablierten bug-fixing Prozess. Vor jedem neuen QGIS Release wird ein 
Monat (vor einer LT-Version sogare anderthalb Monate) damit zugebracht 
Fehler zu behen - einschliesslich Sicherheitsprobleme. 
Sicherheitsprobleme, Crashes und Datenverlust haben immer Top-Priorität 
gegenüber anderen bug fixes. Wie in der Road Map ersichtlich, gibt es 
jeden Monat einen fixen Release für bug fixes und für dieBehebung von 
Sicherheitsproblemen. Bei gravierenden Sicherheitsproblemen (wie sie 
bisher zum Glück selten aufgetreten) wird auch eine Zwischenversion 
eingeschoben.

Zu kommerziellem Support: es gibt kommerzielle Supportfirmen in 
Mitteleuropa und in Deutschland (Suche nach "Germany" in der Liste) die 
sich um neue Features, Bug Fixing und Sicherheitspatches kümmern: siehe 
https://www.qgis.org/resources/support/commercial-support/ [1]- aber 
gegenüber traditionellen komerziellen Software-Providern wird hier die 
Verantwortung zwischen verschiedenen Firmen weltweit und dem 
QGIS-Projekt selber aufgeteilt - so stehen insgesamt sogar mehr Experten 
zur Verfügung als bei so mancher kommerzieller Software-Firma, weil es 
sich um einen ganzen Pool von Firmen mit verschiedenen 
Software-Spezialisten handelt.

Bei konkreteren Fragen zur Sicherheit in QGIS stehen wir (das QGIS 
Board/PSC) und/oder die Kernentwickler gerne zur Verfügung und hoffen 
mit den obigen Ausführungen die Bedenken bezüglich der Sicherheit 
ausgeräumt zu haben.Die verantwortlichen IT-Personen beim Bund können 
sich aber auch gerne direkt an uns wenden um offene Fragen zu klären 
oder Bedenken zu besprechen.

Dafür sollten die Emails: board at qgis.org oder psc at qgis.org verwendet 
werden.

Freundliche Grüsse,

Andreas Neumann
QGIS.ORG PSC and board member

On 2024-09-30 12:39, Wehrle, Julia, 62G NUN via QGIS-DE wrote:

> Liebe QGIS-Community,
> 
> um auf dem Gebiet der Visualisierung von ACLED-Daten mit europäischen 
> Partnerbehörden gleichziehen zu können, wollten einige Kolleg:innen und 
> ich uns mit der Anwendung von QGIS vertraut machen. Leider sind wir 
> bereits am ersten Schritt, der Installation, gescheitert, da diese von 
> unserem IT-Sicherheitsbeauftragten nicht genehmigt wurde. Begründung: 
> Es gebe keine Firma, welche die Softwarepflegeservices rund um QGIS 
> anbietet, die erforderlich wären, um zu verhindern, dass QGIS nach der 
> einmaligen Paketierung und Installation über die Zeit zum 
> Sicherheitsrisiko wird.
> 
> Kann mir hierzu jemand etwas sagen? Ist das so wie oben beschrieben 
> bzw. kennt jemand Lösungen für dieses Problem?
> 
> Vielen Dank und viele Grüße
> 
> Julia
> _______________________________________________
> QGIS-DE mailing list
> QGIS-DE at lists.osgeo.org
> https://lists.osgeo.org/mailman/listinfo/qgis-de



Links:
------
[1] https://www.qgis.org/resources/support/commercial-support/
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.osgeo.org/pipermail/qgis-de/attachments/20240930/e1b71242/attachment-0001.htm>

Mehr Informationen über die Mailingliste QGIS-DE