US-Heimatschutz prüft Sicherheit von Open-Source-Software

Das Ministerium für Heimatschutz der USA hat auf der Veranstaltung OSCon einen neuen Sicherheitsdienst namens Software Assurance Marketplace (SWAMP) angekündigt. Programmierer können dort quelloffenen Code auf Schwachstellen prüfen lassen.

Das Ministerium, das für die Innere Sicherheit und somit etwa für die Terrorabwehr zuständig ist, fungiert bei dem Projekt aber letztlich nur als Geldgeber: Es stellte 23,4 Millionen Dollar bereit. Forscher des Morgridge Institute, der University of Illinois-Champaign/Urbana, der University of Indiana und der University of Wisconsin-Madison haben SWAMP letztlich entwickelt. Die Motivation dahinter erklärt Patrick Beyer, zuständiger Projektmanager am Morgridge Institute: „Opern Source wird immer populärer, und so nutzen auch immer mehr Regierungsbehörden quelloffene Anwendungen. Manche holen sich Code von hier, von da und von überall.“ So gebe es „zunehmend Bedenken, ob solcher Code sicher und hochwertig ist. Wir stellen einen Ort bereit, wo sich das überprüfen lässt.“

Beyers Institut ist es auch, das die erforderlichen Server in Madison (Wisconsin) hostet. Sie stehen in einem gesicherten Bereich und verfügen derzeit über 700 Kerne, 5 TByte RAM und 100 TByte Storage. Tests mit den ersten fünf Statistik-Werkzeugen sind schon seit Februar möglich. Die Programme werden im Rahmen der Überprüfungen nicht ausgeführt.

SWAMP nutzt etwa den C-Compiler GCC, um syntaktische Korrektheit von C-Code zu überprüfen. Der Clang Static Analyzer findet Fehler in Programmen, die in C, C++ oder Objective-C geschrieben sind. Zusätzlich gibt es Cppcheck, das Fehler entdeckt, die den meisten C- und C++-Compilern entgehen.

Für Java gibt es FindBugs, das statt dem Quelltext den Bytecode analysiert. PMD achtet auf typische Programmierfehler in Java-, JavaScript-, XML- und XSL-Anwendungen. CheckStyle überprüft die Einhaltung von Regeln für guten Programmierstil in Java, ähnlich wie error-prone, das auf Googles Best Practice basiert.

Alle Komponenten können nach Wahl einzeln oder zusammen auf Programmcode angewandt werden – von einer gemeinsamen Oberfläche aus. Im Rahmen von SWAMP werden sie regelmäßig gepflegt und verbessert.

Zusätzlich stellt SWAMP fast 400 Software-Pakete bereit, mit denen Entwickler von Code-Analyse-Werkzeugen diese verbessern können. Außerdem macht es die Juliet Test Suite (PDF) des National Institute for Standards and Technology (NIST) verfügbar – eine Sammlung von mehr als 81.000 C-, C++ und Java-Programmen, mit denen Entwickler ihre Analysewerkzeuge testen können.

Beyer zufolge werden alle SWAMP-Aktivitäten vertraulich behandelt. Außer den Nutzern und den Systemadministratoren könne niemand den getesteten Code einsehen. Die Regierung bekomme weder Zugang, noch erhebe sie irgendwelche Ansprüche.

Letztlich dürfte SWAMP zu den Maßnahmen zu zählen sein, um einen neuerlichen Fehler wie Heartbleed in verbreiteten quelloffenen Programm zu verhindern. Diesem Zweck dient etwa auch die Core Infrastructure Initiative der Linux Foundation. Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware tragen zu ihr jeder jährlich 100.000 Dollar bei. Sie fördert vor allem die Programmierer kritischer Komponenten.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

1 Stunde ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago