Die Linux Foundation hat im Rahmen der Core Infrastructure Initiative (CII) angekündigt, drei Sicherheitsprojekte fördern zu wollen. Dafür stellt es rund 500.000 Dollar zur Verfügung. Mit dem Geld sollen die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck unterstützt werden. Außerdem hat die Organisation Emily Ratliff zur Leiterin der CII ernannt.
Seit über 20 Jahren ist Ratliff im Bereich IT-Sicherheit tätig. Unter anderem arbeitete sie bei AMD und IBM. Bei der Core Infrastructure Initiative ist sie künftig als Senior Director of Infrastructure Security tätig.
Mit Reproducible Builds verfolgt die Linux Foudation das Ziel, Binärprogramme aus ihrem Quellcode reproduzierbar zu machen. Auf diese Weise sollen Entwickler überprüfen können, ob Binärdateien wirklich auf den Quelltext zurückgehen. Bislang gestaltet sich dies schwierig, je nach verwendeter Compilerversion variiert das Ergebnis. Bereits kleine Unterschiede wie das Datum oder die Anordnung von Dateien können zu unterschiedlichen Binärdateien führen. Das Projekt will solche Variationen in Zukunft normalisieren.
Das zweite Projekt namens Fuzzing beschäftigt sich mit einer Technik, um Software zu testen. Damit Entwickler Fehler in ihren Programmen entdecken können, laufen diese in einer Black Box und werden dabei automatisch mit Zufallsdaten gefüttert. Das Fuzzing Project stammt von dem Sicherheitsforscher Hanno Böck. Es ist in der Lage, solche quelloffenen Fuzzing-Vorhaben zu koordinieren, zu verbessern und zu dokumentieren. Es hat schon eine Reihe Fehler in bekannten Programmen wie GnuPG und OpenSSL aufgedeckt.
Als letztes fördert die Linux Foundation das False Positive Free Testing unter der Leitung von Pascal Cuoq. Er ist der Gründer von TrustInSoft und dessen Chief Scientist. Das Projekt basiert auf TIS Interpreter. Dies ist ein kommerzielles Software-Analysewerkzeug, das wiederum den C-Debugger Frama C als Grundlage nutzt. Er prüft für jede Anweisung eines getesteten Programms, ob sie zu unvorhergesehenem Verhalten führen kann.
“Zwar sind alle Projekte unterschiedlich, deren Unterstützung wir ankündigen, aber alle sind kritisch für unsere weltweite Computing-Infrastruktur und Cybersicherheit”, kommentierte der Executive Director der Linux Foundation, Jim Zemlin. Mit dem Förderprogramm und Ratliff als Chefin der CII bringe die Organisation sich in eine gute Position, um Infrastruktur-Lücken in den kommenden Monaten und Jahren zu verhindern. Ziel seien “ganzheitlichere Lösungen für Open-Source-Sicherheit.”
Die Linux Foundation hat die CII 2014 in Reaktion auf Lücken wie Heartbleed in OpenSSL gegründet, um die Sicherheit von wichtigen Open-Source-Projekten zu verbessern. Je verbreiteter ein Programm, desto wahrscheinlicher eine Unterstützung – vorausgesetzt natürlich, es fehlte ihm bisher an Mitteln. Anträge werden vierteljährlich von einem Komitee geprüft.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…