Projekt EU-Fossa: Sicherheits-Audit für Open Source

Das Projekt überprüft die Sicherheit freier Software, die von der EU-Kommission und dem Europaparlament eingesetzt wird. Durch eine öffentliche Umfrage wurden für die europäischen Institutionen besonders relevante Open-Source-Lösungen bestimmt. Kritik entzündet sich an der Madrider Beratungsfirma Everis, die am Projekt teilnimmt.

Das Projekt EU-Fossa überprüft die Sicherheit freier Software, die von der EU-Kommission und dem Europaparlament eingesetzt wird. In den kommenden Wochen werden Apache HTTP Server und der Passwortmanager KeePass einem Sicherheits-Audit unterzogen. Die beiden Open-Source-Lösungen wurden durch eine öffentliche Umfrage ausgewählt.

Open Source (Bild: Shutterstock/kentoh)

Zur Wahl standen außerdem OpenSSL, Linux, Firefox, VLC Media Player, MySQL und Drupal. Zwischen dem 17. Juni und dem 8. Juli gingen 3282 Antworten ein, die mit großem Abstand für KeePass (23,1 Prozent) und Apache HTTP Server (18,7 Prozent) sprachen. Bei der detaillierten Umfrage ging es insbesondere darum, wie häufig die Software innerhalb und außerhalb der EU-Institutionen genutzt wird – und wie kritisch sie für die Institutionen und ihre Nutzer ist.

EU-Fossa (EU-Free and Open Source Software Auditing) wurde im Januar 2015 gestartet. Initiatoren des Projekts sind die deutsche Piratenpolitikerin Julia Reda und der schwedische Grünen-Politiker Max Andersson, beide Abgeordnete des Europäischen Parlaments. Das erklärte Ziel des Projekts ist es, die Sicherheit freier Software zu verbessern und zu zeigen, dass Sicherheit und Freiheit keine Gegensätze sind.

„Meiner Meinung nach sollte die Regierung stark zur Nutzung und Unterstützung von Open-Source-Software neigen“, argumentierte Reda in einem Blogeintrag. „Ihr Staat solle keinen Code einsetzen, der Geheimdiensten zugänglicher ist als Ihnen. Jede Software, für die eine Regierung bezahlt, solle Open Source sein: Durch ihre Handlungen sollte die Regierung das Gemeinwohl bereichern und nicht ein bestimmtes Unternehmen.“

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

An der Auditierung über die nächsten Wochen hinweg werden sich die IT-Abteilungen des Europaparlaments sowie der Europäischen Kommission beteiligen. Zusätzlich ist in das Projekt aber auch die Madrider Beratungsfirma Everis einbezogen, an deren Teilnahme sich inzwischen Kritik aus der Open-Source-Community entzündet. „Sie hatten kein gutes Wissen über freie Software, als sie begannen“, moniert etwa Matthias Kirschner, Präsident der Free Software Foundation Europe (FSFE). „Und obwohl wir sie mit vielen Informationen versorgt haben, hat sich daran nichts geändert, wie aus den Ergebnissen zu ersehen. Es gab wenig Kommunikation über das Projekt bis zur kürzlichen Veröffentlichung von über 550 Seiten und einer Umfrage zu den Programmen, die auditiert werden sollen.“

Kirschner hätte sich vielmehr von Anfang an die frühzeitige Veröffentlichung von Ideen, Kriterien und Ergebnissen gewünscht, um das Feedback anderer zu ermöglichen. Die Veröffentlichung von 550 Seiten nach fast einem Jahr Stillschweigen habe die wirklichen Experten daran gehindert, frühzeitig auf Missverständnisse und systematische Fehler einzugehen, die schon zu Beginn des Projekts entstanden. „Ich bin besorgt, sollte das Projekt wie bisher weiterlaufen, dass die europäischen Institutionen einen großen Teil des Budgets von 1 Million Euro ohne positive Auswirkung auf die Sicherheit von freier Software ausgeben werden“, warnt der FSFE-Chef.

Themenseiten: EU, EU, Europa, European Union, Open Source, Politik, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Projekt EU-Fossa: Sicherheits-Audit für Open Source

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *