BSI will Sicherheit von Open-Source-Software erhöhen

In Kooperation mit dem Münchener Entwicklungsberater mgm security partners hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Projekt „Codeanalyse von Open Source Software“ (CAOS) gestartet. Entwicklerinnen und Entwickler sollen bei der Erstellung sicherer Softwareanwendungen unterstützt werden. Zudem will man das Vertrauen in Open-Source Software-steigern.

Im Fokus stand zunächst der Quellcode der Videokonferenzsysteme BigBlueButton und Jitsi. Kritische Schwachstellen hat das BSI den betroffenen Entwicklern mitgeteilt – diese konnten die gefundenen Sicherheitslücken den Angaben des BSI zufolge zeitnah beheben.

Weitere Mängel wurden im Rahmen eines Responsible-Disclosure-Verfahren adressiert. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.

Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, sind weitere Codeanalysen geplant. Das Projekt zur „Codeanalyse von Open Source Software“ wird unter dem Namen CAOS 2.0 fortgeführt. Die Ergebnisse werden nach einem Responsible-Disclosure-Verfahren ebenfalls auf der Webseite des BSI veröffentlicht. Das Verfahren gestattet Entwicklern eine angemessene Frist zur Behebung von Sicherheitslücken vor deren Veröffentlichung.