Die Core Infrastructure Initiative der Linux Foundation unterstützt drei neue Sicherheitsprojekte mit fast einer halben Million Dollar. Es sind die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck. Zusätzlich wurde mit Emily Ratliff eine erfahrene Leiterin der CII eingestellt.
Das Ziel von Reproducible Builds ist es, Binärprogramme aus ihrem Quellcode reproduzierbar zu machen, sodass Entwickler verifizieren können, ob Binärdateien wirklich auf den Quelltext zurückgehen. Dies ist bisher schwierig, da das Ergebnis je nach verwendeter Compilerversion variiert. Triviale Unterschiede wie das Datum oder die Anordnung von Dateien können zu unterschiedlichen Binärdateien führen. Solche Variationen will das Projekt normalisieren.
Die Debian-Entwickler Holger Levsen und Jérémy Bobbio leiten das Projekt, das unnötige Variationen für tausende freier Softwareprojekte eliminieren soll. Sie erstellen auch Werkzeuge, um den Grund für Differenzen nachzuvollziehen und um die Echtheit binärer Distributionen zu prüfen. Für Debian haben sie schon große Fortschritte erzielt. Ihre Tools werden nach und nach für Fedora, OpenWrt, Ubuntu und andere Distributionen verfügbar.
Fuzzing hingegen ist eine Technik für Software-Tests. Programme laufen in einer Black Box und werden dabei automatisch mit Zufallsdaten gefüttert, um Fehler zu entdecken. Das Fuzzing Project von Sicherheitsforscher Hanno Böck koordiniert solche quelloffenen Fuzzing-Vorhaben, verbessert und dokumentiert sie. Es hat schon eine Reihe Fehler in bekannten Programmen wie GnuPG und OpenSSL aufgedeckt.
Das dritte von der CII geförderte Projekt ist False Positive Free Testing unter der Leitung von Pascal Cuoq, einem der Gründer von TrustInSoft und dessen Chief Scientist. Es baut auf TIS Interpreter auf, einem kommerziellen Software-Analysewerkzeug, das wiederum auf Frama C basiert, einem C-Debugger. Er prüft für jede Anweisung eines getesteten Programms, ob sie zu unvorhergesehenem Verhalten führen kann.
TIS Interpreter und ähnliche Ansätze auf Basis von Frama C führen bisher auch zu False Positives, also Fehlermeldungen, die gar keinem realen Fehler entsprechen. Ziel des neuen Projekts ist es, Fehler aufzudecken, aber False Positives vollständig zu vermeiden. Es konzentriert sich zunächst auf OpenSSL: Mit American Fuzzy Lop werden Tests dieser Software durchgeführt, die der neue TIS Interpreter auf Fehler untersucht. Im Erfolgsfall soll er auch für andere Programme nutzbar gemacht werden. Die erste quelloffene Version wird voraussichtlich 2016 vorliegen.
Die CII wurde 2014 in Reaktion auf Lücken wie Heartbleed in OpenSSL gegründet, um die Sicherheit von wichtigen Open-Source-Projekten zu verbessern. Je verbreiteter ein Programm, desto wahrscheinlicher eine Unterstützung – vorausgesetzt natürlich, es fehlte ihm bisher an Mitteln. Anträge werden vierteljährlich von einem Komitee geprüft.
[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Betroffen sind alle unterstützten iPhones und iPads sowie ältere Modelle. Apple bezeichnet die Angriffe als…
Nur 14 Prozent der SRM-Führungskräfte erreichen einen wirkungsvollen Schutz und ermöglichen dabei eine Datennutzung zur…
Die Phishing-Nachrichten verteilen die Cyberkriminellen über eine Marketing-Tool von Salesforce. Unternehmen werden darin Urheberrechtsverletzungen auf…
Täglich werden laut BSI durchschnittlich 78 neue Schwachstellen von Software bekannt.
Betroffen sind bestimmte Installation von Windows 11 24H2. Als Behelfslösung muss Das Betriebssystem erneut installiert…
API‑Lösung bietet eine noch höhere Übersetzungsqualität und KI‑gestützte Textverbesserungen.