Categories: Open SourceSoftware

Linux Foundation fördert drei Sicherheitsprojekte mit 500.000 Dollar

Die Core Infrastructure Initiative der Linux Foundation unterstützt drei neue Sicherheitsprojekte mit fast einer halben Million Dollar. Es sind die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck. Zusätzlich wurde mit Emily Ratliff eine erfahrene Leiterin der CII eingestellt.

Ratliff befasst sich seit über 20 Jahren mit IT-Sicherheit. Sie war unter anderem bei AMD und IBM beschäftigt. Ihr neuer Titel lautet Senior Director of Infrastructure Security.

Das Ziel von Reproducible Builds ist es, Binärprogramme aus ihrem Quellcode reproduzierbar zu machen, sodass Entwickler verifizieren können, ob Binärdateien wirklich auf den Quelltext zurückgehen. Dies ist bisher schwierig, da das Ergebnis je nach verwendeter Compilerversion variiert. Triviale Unterschiede wie das Datum oder die Anordnung von Dateien können zu unterschiedlichen Binärdateien führen. Solche Variationen will das Projekt normalisieren.

Die Debian-Entwickler Holger Levsen und Jérémy Bobbio leiten das Projekt, das unnötige Variationen für tausende freier Softwareprojekte eliminieren soll. Sie erstellen auch Werkzeuge, um den Grund für Differenzen nachzuvollziehen und um die Echtheit binärer Distributionen zu prüfen. Für Debian haben sie schon große Fortschritte erzielt. Ihre Tools werden nach und nach für Fedora, OpenWrt, Ubuntu und andere Distributionen verfügbar.

Fuzzing hingegen ist eine Technik für Software-Tests. Programme laufen in einer Black Box und werden dabei automatisch mit Zufallsdaten gefüttert, um Fehler zu entdecken. Das Fuzzing Project von Sicherheitsforscher Hanno Böck koordiniert solche quelloffenen Fuzzing-Vorhaben, verbessert und dokumentiert sie. Es hat schon eine Reihe Fehler in bekannten Programmen wie GnuPG und OpenSSL aufgedeckt.

Das dritte von der CII geförderte Projekt ist False Positive Free Testing unter der Leitung von Pascal Cuoq, einem der Gründer von TrustInSoft und dessen Chief Scientist. Es baut auf TIS Interpreter auf, einem kommerziellen Software-Analysewerkzeug, das wiederum auf Frama C basiert, einem C-Debugger. Er prüft für jede Anweisung eines getesteten Programms, ob sie zu unvorhergesehenem Verhalten führen kann.

TIS Interpreter und ähnliche Ansätze auf Basis von Frama C führen bisher auch zu False Positives, also Fehlermeldungen, die gar keinem realen Fehler entsprechen. Ziel des neuen Projekts ist es, Fehler aufzudecken, aber False Positives vollständig zu vermeiden. Es konzentriert sich zunächst auf OpenSSL: Mit American Fuzzy Lop werden Tests dieser Software durchgeführt, die der neue TIS Interpreter auf Fehler untersucht. Im Erfolgsfall soll er auch für andere Programme nutzbar gemacht werden. Die erste quelloffene Version wird voraussichtlich 2016 vorliegen.

„Zwar sind alle Projekte unterschiedlich, deren Unterstützung wir ankündigen, aber alle sind kritisch für unsere weltweite Computing-Infrastruktur und Cybersicherheit“, kommentierte der Executive Director der Linux Foundation, Jim Zemlin. Mit dem Förderprogramm und Ratliff als Chefin der CII bringe die Organisation sich in eine gute Position, um Infrastruktur-Lücken in den kommenden Monaten und Jahren zu verhindern. Ziel seien „ganzheitlichere Lösungen für Open-Source-Sicherheit.“

Die CII wurde 2014 in Reaktion auf Lücken wie Heartbleed in OpenSSL gegründet, um die Sicherheit von wichtigen Open-Source-Projekten zu verbessern. Je verbreiteter ein Programm, desto wahrscheinlicher eine Unterstützung – vorausgesetzt natürlich, es fehlte ihm bisher an Mitteln. Anträge werden vierteljährlich von einem Komitee geprüft.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Sicherheitsrisiko Schatten-IoT

Schatten-IT im Internet der Dinge (IoT) verbirgt zahlreiche Risiken. Mirko Bülles, Director TAM bei Armis,…

11 Stunden ago

Das Lizenzmodell Microsoft New Commerce Experience

Microsofts New Commerce Experience ist umstritten. Ob es Chancen für Cloud Service Provider gibt oder…

11 Stunden ago

Digitale Gesundheitsakte revolutioniert die Pferdezucht

Der Oldenburger Pferdezuchtverband zählt zu den führenden Zuchtverbänden Deutschlands. Mit der digitalen Pferdeakte sorgt er…

12 Stunden ago

Die Hummel sticht

Laut Cybersecurity-Forschern wird der Bumblebee (Hummel) Loader schnell zu einem Favoriten von Ransomware-Banden. Er steht…

12 Stunden ago

Linux: Rust wird bald integriert

Linus Torvalds ist vorsichtig optimistisch, Rust in die nächste Version des Linux-Kernels zu integrieren, wahrscheinlich…

2 Tagen ago

Google öffnet Earth Engine für alle

In den letzten zehn Jahren hatten Forscher in der akademischen und gemeinnützigen Welt über die…

2 Tagen ago