20. Mai 2017 | 21:43 Uhr

Software Update Monitor (SUMo): Alternative zu Secunia PSI

Im Microblog Beitrag »Wanna Cry: Mit Linux wäre das nicht passiert« habe ich gefragt, ob es unter Windows Alternativen zum Personal Software Inspector (PSI) gibt. Ein Einsender dazu:

[…]
Vor ein paar Jahren hatte ich selbst den PSI unter Windows verwendet. Damals war ich aber immer davon enttäuscht, dass der PSI nur bestimmte Updates anzeigte und andere nicht. Der Hintergrund war damals die Unterscheidung zwischen Sicherheitsupdates und anderen / normalen Updates; der PSI zeigte damals nur Sicherheitsupdates an!

Das setzt natürlich voraus, dass (1) der Entwickler überhaupt weiß, dass er eine Sicherheitslücke behebt, (2) dieses Wissen im Changelog oder den Release Notes mit den Benutzern teilt und (3) Secunia das korrekt in die eigene Datenbank übernimmt.

Grundsätzlich gefällt mir persönlich auch diese (künstliche) Unterscheidung zwischen Sicherheitsupdates und anderen / normalen Updates nicht. Wir erleben es ja immer wieder, dass sich eine behobene Lücke erst im Nachhinein als sicherheitskritisch erweist. Und natürlich können auch die ganz normalen Fehler in einer Software unschöne Konsequenzen haben.

Jedenfalls habe ich mich damals nach einer Alterntive zum PSI umgesehen und im Software Update Monitor (SUMo) von Kyle Katarn gefunden. Im Gegensatz zum damaligen Verhalten vom PSI zeigt SUMo jede neue Version einer Software.

Von den Vorteilen kannst Du Dir ja mal selbst ein eigenes Bild machen. Deshalb hier nur kurz ein paar Anmerkungen zu den möglichen Nachteilen:

Beim Download gibt es zwei verschiedene Versionen: Die Regular Version enthält Werbung von Relevant Knowledge; zum Glück gibt es auch eine Lite Version ohne Werbung. Die Oberfläche ist meiner Meinung nach einfach gehalten: Mit „Scan“ sucht man nach auf dem Computer vorhandener Software und mit „Check“ überprüft man auf vorhande Updates.

Für die Überprüfung auf Updates wird die Liste der vorhandenen Software an die Server von SUMo geschickt. Das erfolgt derzeit leider unverschlüsselt über Port 80. Gleiches trifft im Falle von automatischen Updates von SUMo selbst zu.

(Ich bin im Moment im Urlaub und werde nach meiner Rückkehr nach Hamburg gegen Mitte Juni mal Kyle Katern deswegen kontaktieren und um durchgehende Nutzung von Verschlüsselung bitten.)

Es kommt bei der Überprüfung auf Updates gelegentlich vor, dass in der Datenbank Beta Versionen fälschlicherweise als reguläre Versionen markiert sind und dadurch ein vorhandenes Update für eine Software in SUMo angezeigt wird. Per Rechtsklick und „Report Beta“ kann man Kyle Katarn dann eine E-Mail schicken und der Fehler in der Datenbank wird dann regelmäßig schnell behoben.

Der umgekehrte Fall – also dass Reguläre Versionen nicht angezeigt werden, weil sie in der Datenbank als Beta Version markiert sind – ist mir bislang (fast) noch nicht aufgefallen.