Categories: Open SourceSoftware

Linux Foundation unterstützt drei Sicherheitsinitiativen

Die Linux Foundation hat im Rahmen der Core Infrastructure Initiative (CII) angekündigt, drei Sicherheitsprojekte fördern zu wollen. Dafür stellt es rund 500.000 Dollar zur Verfügung. Mit dem Geld sollen die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck unterstützt werden. Außerdem hat die Organisation Emily Ratliff zur Leiterin der CII ernannt.

Seit über 20 Jahren ist Ratliff im Bereich IT-Sicherheit tätig. Unter anderem arbeitete sie bei AMD und IBM. Bei der Core Infrastructure Initiative ist sie künftig als Senior Director of Infrastructure Security tätig.

Initiative Reproducible Builds

Mit Reproducible Builds verfolgt die Linux Foudation das Ziel, Binärprogramme aus ihrem Quellcode reproduzierbar zu machen. Auf diese Weise sollen Entwickler überprüfen können, ob Binärdateien wirklich auf den Quelltext zurückgehen. Bislang gestaltet sich dies schwierig, je nach verwendeter Compilerversion variiert das Ergebnis. Bereits kleine Unterschiede wie das Datum oder die Anordnung von Dateien können zu unterschiedlichen Binärdateien führen. Das Projekt will solche Variationen in Zukunft normalisieren.

Die Leitung des Projekts haben die Debian-Entwickler Holger Levsen und Jérémy Bobbio. Neben der Eliminierung von unnötigen Variationen von tausenden freien Softwareprojekten, erstellen sie auch Werkzeuge, um den Grund für Differenzen nachzuvollziehen und um die Echtheit binärer Distributionen zu prüfen. Für Debian konnten sie bereits große Fortschritte erreichen. Nach und nach stehen ihre Tools für Fedora, OpenWrt, Ubuntu und andere Distributionen bereit.

Fuzzing Project

Das zweite Projekt namens Fuzzing beschäftigt sich mit einer Technik, um Software zu testen. Damit Entwickler Fehler in ihren Programmen entdecken können, laufen diese in einer Black Box und werden dabei automatisch mit Zufallsdaten gefüttert. Das Fuzzing Project stammt von dem Sicherheitsforscher Hanno Böck. Es ist in der Lage, solche quelloffenen Fuzzing-Vorhaben zu koordinieren, zu verbessern und zu dokumentieren. Es hat schon eine Reihe Fehler in bekannten Programmen wie GnuPG und OpenSSL aufgedeckt.

False Positive Free Testing

Als letztes fördert die Linux Foundation das False Positive Free Testing unter der Leitung von Pascal Cuoq. Er ist der Gründer von TrustInSoft und dessen Chief Scientist. Das Projekt basiert auf TIS Interpreter. Dies ist ein kommerzielles Software-Analysewerkzeug, das wiederum den C-Debugger Frama C als Grundlage nutzt. Er prüft für jede Anweisung eines getesteten Programms, ob sie zu unvorhergesehenem Verhalten führen kann.

TIS Interpreter und ähnliche Ansätze auf Basis von Frama C führen bisher auch zu False Positives, also Fehlermeldungen, die gar keinem realen Fehler entsprechen. Ziel des neuen Projekts ist es, Fehler aufzudecken, aber False Positives vollständig zu vermeiden. Es konzentriert sich zunächst auf OpenSSL: Mit American Fuzzy Lop werden Tests dieser Software durchgeführt, die der neue TIS Interpreter auf Fehler untersucht. Im Erfolgsfall soll er auch für andere Programme nutzbar gemacht werden. Die erste quelloffene Version wird voraussichtlich 2016 vorliegen.

“Ganzheitlichere Lösungen für Open-Source-Sicherheit”

“Zwar sind alle Projekte unterschiedlich, deren Unterstützung wir ankündigen, aber alle sind kritisch für unsere weltweite Computing-Infrastruktur und Cybersicherheit”, kommentierte der Executive Director der Linux Foundation, Jim Zemlin. Mit dem Förderprogramm und Ratliff als Chefin der CII bringe die Organisation sich in eine gute Position, um Infrastruktur-Lücken in den kommenden Monaten und Jahren zu verhindern. Ziel seien “ganzheitlichere Lösungen für Open-Source-Sicherheit.”

Die Linux Foundation hat die CII 2014 in Reaktion auf Lücken wie Heartbleed in OpenSSL gegründet, um die Sicherheit von wichtigen Open-Source-Projekten zu verbessern. Je verbreiteter ein Programm, desto wahrscheinlicher eine Unterstützung – vorausgesetzt natürlich, es fehlte ihm bisher an Mitteln. Anträge werden vierteljährlich von einem Komitee geprüft.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago