Linux Foundation unterstützt drei Sicherheitsinitiativen

Die Linux Foundation hat im Rahmen der Core Infrastructure Initiative (CII) angekündigt, drei Sicherheitsprojekte fördern zu wollen. Dafür stellt es rund 500.000 Dollar zur Verfügung. Mit dem Geld sollen die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck unterstützt werden. Außerdem hat die Organisation Emily Ratliff zur Leiterin der CII ernannt.

Seit über 20 Jahren ist Ratliff im Bereich IT-Sicherheit tätig. Unter anderem arbeitete sie bei AMD und IBM. Bei der Core Infrastructure Initiative ist sie künftig als Senior Director of Infrastructure Security tätig.

Initiative Reproducible Builds

Mit Reproducible Builds verfolgt die Linux Foudation das Ziel, Binärprogramme aus ihrem Quellcode reproduzierbar zu machen. Auf diese Weise sollen Entwickler überprüfen können, ob Binärdateien wirklich auf den Quelltext zurückgehen. Bislang gestaltet sich dies schwierig, je nach verwendeter Compilerversion variiert das Ergebnis. Bereits kleine Unterschiede wie das Datum oder die Anordnung von Dateien können zu unterschiedlichen Binärdateien führen. Das Projekt will solche Variationen in Zukunft normalisieren.

Die Leitung des Projekts haben die Debian-Entwickler Holger Levsen und Jérémy Bobbio. Neben der Eliminierung von unnötigen Variationen von tausenden freien Softwareprojekten, erstellen sie auch Werkzeuge, um den Grund für Differenzen nachzuvollziehen und um die Echtheit binärer Distributionen zu prüfen. Für Debian konnten sie bereits große Fortschritte erreichen. Nach und nach stehen ihre Tools für Fedora, OpenWrt, Ubuntu und andere Distributionen bereit.

Fuzzing Project

Das zweite Projekt namens Fuzzing beschäftigt sich mit einer Technik, um Software zu testen. Damit Entwickler Fehler in ihren Programmen entdecken können, laufen diese in einer Black Box und werden dabei automatisch mit Zufallsdaten gefüttert. Das Fuzzing Project stammt von dem Sicherheitsforscher Hanno Böck. Es ist in der Lage, solche quelloffenen Fuzzing-Vorhaben zu koordinieren, zu verbessern und zu dokumentieren. Es hat schon eine Reihe Fehler in bekannten Programmen wie GnuPG und OpenSSL aufgedeckt.

False Positive Free Testing

Als letztes fördert die Linux Foundation das False Positive Free Testing unter der Leitung von Pascal Cuoq. Er ist der Gründer von TrustInSoft und dessen Chief Scientist. Das Projekt basiert auf TIS Interpreter. Dies ist ein kommerzielles Software-Analysewerkzeug, das wiederum den C-Debugger Frama C als Grundlage nutzt. Er prüft für jede Anweisung eines getesteten Programms, ob sie zu unvorhergesehenem Verhalten führen kann.

TIS Interpreter und ähnliche Ansätze auf Basis von Frama C führen bisher auch zu False Positives, also Fehlermeldungen, die gar keinem realen Fehler entsprechen. Ziel des neuen Projekts ist es, Fehler aufzudecken, aber False Positives vollständig zu vermeiden. Es konzentriert sich zunächst auf OpenSSL: Mit American Fuzzy Lop werden Tests dieser Software durchgeführt, die der neue TIS Interpreter auf Fehler untersucht. Im Erfolgsfall soll er auch für andere Programme nutzbar gemacht werden. Die erste quelloffene Version wird voraussichtlich 2016 vorliegen.

“Ganzheitlichere Lösungen für Open-Source-Sicherheit”

“Zwar sind alle Projekte unterschiedlich, deren Unterstützung wir ankündigen, aber alle sind kritisch für unsere weltweite Computing-Infrastruktur und Cybersicherheit”, kommentierte der Executive Director der Linux Foundation, Jim Zemlin. Mit dem Förderprogramm und Ratliff als Chefin der CII bringe die Organisation sich in eine gute Position, um Infrastruktur-Lücken in den kommenden Monaten und Jahren zu verhindern. Ziel seien “ganzheitlichere Lösungen für Open-Source-Sicherheit.”

Die Linux Foundation hat die CII 2014 in Reaktion auf Lücken wie Heartbleed in OpenSSL gegründet, um die Sicherheit von wichtigen Open-Source-Projekten zu verbessern. Je verbreiteter ein Programm, desto wahrscheinlicher eine Unterstützung – vorausgesetzt natürlich, es fehlte ihm bisher an Mitteln. Anträge werden vierteljährlich von einem Komitee geprüft.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de