US-Heimatschutz prüft Sicherheit von Open-Source-Software

Das Ministerium für Heimatschutz der USA hat auf der Veranstaltung OSCon einen neuen Sicherheitsdienst namens Software Assurance Marketplace (SWAMP) angekündigt. Programmierer können dort quelloffenen Code auf Schwachstellen prüfen lassen.

Das Ministerium, das für die Innere Sicherheit und somit etwa für die Terrorabwehr zuständig ist, fungiert bei dem Projekt aber letztlich nur als Geldgeber: Es stellte 23,4 Millionen Dollar bereit. Forscher des Morgridge Institute, der University of Illinois-Champaign/Urbana, der University of Indiana und der University of Wisconsin-Madison haben SWAMP letztlich entwickelt. Die Motivation dahinter erklärt Patrick Beyer, zuständiger Projektmanager am Morgridge Institute: „Opern Source wird immer populärer, und so nutzen auch immer mehr Regierungsbehörden quelloffene Anwendungen. Manche holen sich Code von hier, von da und von überall.“ So gebe es „zunehmend Bedenken, ob solcher Code sicher und hochwertig ist. Wir stellen einen Ort bereit, wo sich das überprüfen lässt.“

Beyers Institut ist es auch, das die erforderlichen Server in Madison (Wisconsin) hostet. Sie stehen in einem gesicherten Bereich und verfügen derzeit über 700 Kerne, 5 TByte RAM und 100 TByte Storage. Tests mit den ersten fünf Statistik-Werkzeugen sind schon seit Februar möglich. Die Programme werden im Rahmen der Überprüfungen nicht ausgeführt.

SWAMP nutzt etwa den C-Compiler GCC, um syntaktische Korrektheit von C-Code zu überprüfen. Der Clang Static Analyzer findet Fehler in Programmen, die in C, C++ oder Objective-C geschrieben sind. Zusätzlich gibt es Cppcheck, das Fehler entdeckt, die den meisten C- und C++-Compilern entgehen.

Für Java gibt es FindBugs, das statt dem Quelltext den Bytecode analysiert. PMD achtet auf typische Programmierfehler in Java-, JavaScript-, XML- und XSL-Anwendungen. CheckStyle überprüft die Einhaltung von Regeln für guten Programmierstil in Java, ähnlich wie error-prone, das auf Googles Best Practice basiert.

Alle Komponenten können nach Wahl einzeln oder zusammen auf Programmcode angewandt werden – von einer gemeinsamen Oberfläche aus. Im Rahmen von SWAMP werden sie regelmäßig gepflegt und verbessert.

Zusätzlich stellt SWAMP fast 400 Software-Pakete bereit, mit denen Entwickler von Code-Analyse-Werkzeugen diese verbessern können. Außerdem macht es die Juliet Test Suite (PDF) des National Institute for Standards and Technology (NIST) verfügbar – eine Sammlung von mehr als 81.000 C-, C++ und Java-Programmen, mit denen Entwickler ihre Analysewerkzeuge testen können.

Beyer zufolge werden alle SWAMP-Aktivitäten vertraulich behandelt. Außer den Nutzern und den Systemadministratoren könne niemand den getesteten Code einsehen. Die Regierung bekomme weder Zugang, noch erhebe sie irgendwelche Ansprüche.

Letztlich dürfte SWAMP zu den Maßnahmen zu zählen sein, um einen neuerlichen Fehler wie Heartbleed in verbreiteten quelloffenen Programm zu verhindern. Diesem Zweck dient etwa auch die Core Infrastructure Initiative der Linux Foundation. Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware tragen zu ihr jeder jährlich 100.000 Dollar bei. Sie fördert vor allem die Programmierer kritischer Komponenten.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de