US-Heimatschutz prüft Sicherheit von Open-Source-Software

Das Ministerium für Heimatschutz der USA hat auf der Veranstaltung OSCon einen neuen Sicherheitsdienst namens Software Assurance Marketplace (SWAMP) angekündigt. Programmierer können dort quelloffenen Code auf Schwachstellen prüfen lassen.

Das Ministerium, das für die Innere Sicherheit und somit etwa für die Terrorabwehr zuständig ist, fungiert bei dem Projekt aber letztlich nur als Geldgeber: Es stellte 23,4 Millionen Dollar bereit. Forscher des Morgridge Institute, der University of Illinois-Champaign/Urbana, der University of Indiana und der University of Wisconsin-Madison haben SWAMP letztlich entwickelt. Die Motivation dahinter erklärt Patrick Beyer, zuständiger Projektmanager am Morgridge Institute: „Opern Source wird immer populärer, und so nutzen auch immer mehr Regierungsbehörden quelloffene Anwendungen. Manche holen sich Code von hier, von da und von überall.“ So gebe es „zunehmend Bedenken, ob solcher Code sicher und hochwertig ist. Wir stellen einen Ort bereit, wo sich das überprüfen lässt.“

Beyers Institut ist es auch, das die erforderlichen Server in Madison (Wisconsin) hostet. Sie stehen in einem gesicherten Bereich und verfügen derzeit über 700 Kerne, 5 TByte RAM und 100 TByte Storage. Tests mit den ersten fünf Statistik-Werkzeugen sind schon seit Februar möglich. Die Programme werden im Rahmen der Überprüfungen nicht ausgeführt.

SWAMP nutzt etwa den C-Compiler GCC, um syntaktische Korrektheit von C-Code zu überprüfen. Der Clang Static Analyzer findet Fehler in Programmen, die in C, C++ oder Objective-C geschrieben sind. Zusätzlich gibt es Cppcheck, das Fehler entdeckt, die den meisten C- und C++-Compilern entgehen.

Für Java gibt es FindBugs, das statt dem Quelltext den Bytecode analysiert. PMD achtet auf typische Programmierfehler in Java-, JavaScript-, XML- und XSL-Anwendungen. CheckStyle überprüft die Einhaltung von Regeln für guten Programmierstil in Java, ähnlich wie error-prone, das auf Googles Best Practice basiert.

Alle Komponenten können nach Wahl einzeln oder zusammen auf Programmcode angewandt werden – von einer gemeinsamen Oberfläche aus. Im Rahmen von SWAMP werden sie regelmäßig gepflegt und verbessert.

Zusätzlich stellt SWAMP fast 400 Software-Pakete bereit, mit denen Entwickler von Code-Analyse-Werkzeugen diese verbessern können. Außerdem macht es die Juliet Test Suite (PDF) des National Institute for Standards and Technology (NIST) verfügbar – eine Sammlung von mehr als 81.000 C-, C++ und Java-Programmen, mit denen Entwickler ihre Analysewerkzeuge testen können.

Beyer zufolge werden alle SWAMP-Aktivitäten vertraulich behandelt. Außer den Nutzern und den Systemadministratoren könne niemand den getesteten Code einsehen. Die Regierung bekomme weder Zugang, noch erhebe sie irgendwelche Ansprüche.

Letztlich dürfte SWAMP zu den Maßnahmen zu zählen sein, um einen neuerlichen Fehler wie Heartbleed in verbreiteten quelloffenen Programm zu verhindern. Diesem Zweck dient etwa auch die Core Infrastructure Initiative der Linux Foundation. Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware tragen zu ihr jeder jährlich 100.000 Dollar bei. Sie fördert vor allem die Programmierer kritischer Komponenten.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago