Linux Foundation fördert drei Sicherheitsprojekte mit 500.000 Dollar

Die Core Infrastructure Initiative der Linux Foundation unterstützt drei neue Sicherheitsprojekte mit fast einer halben Million Dollar. Es sind die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck. Zusätzlich wurde mit Emily Ratliff eine erfahrene Leiterin der CII eingestellt.

Ratliff befasst sich seit über 20 Jahren mit IT-Sicherheit. Sie war unter anderem bei AMD und IBM beschäftigt. Ihr neuer Titel lautet Senior Director of Infrastructure Security.

Das Ziel von Reproducible Builds ist es, Binärprogramme aus ihrem Quellcode reproduzierbar zu machen, sodass Entwickler verifizieren können, ob Binärdateien wirklich auf den Quelltext zurückgehen. Dies ist bisher schwierig, da das Ergebnis je nach verwendeter Compilerversion variiert. Triviale Unterschiede wie das Datum oder die Anordnung von Dateien können zu unterschiedlichen Binärdateien führen. Solche Variationen will das Projekt normalisieren.

Die Debian-Entwickler Holger Levsen und Jérémy Bobbio leiten das Projekt, das unnötige Variationen für tausende freier Softwareprojekte eliminieren soll. Sie erstellen auch Werkzeuge, um den Grund für Differenzen nachzuvollziehen und um die Echtheit binärer Distributionen zu prüfen. Für Debian haben sie schon große Fortschritte erzielt. Ihre Tools werden nach und nach für Fedora, OpenWrt, Ubuntu und andere Distributionen verfügbar.

Fuzzing hingegen ist eine Technik für Software-Tests. Programme laufen in einer Black Box und werden dabei automatisch mit Zufallsdaten gefüttert, um Fehler zu entdecken. Das Fuzzing Project von Sicherheitsforscher Hanno Böck koordiniert solche quelloffenen Fuzzing-Vorhaben, verbessert und dokumentiert sie. Es hat schon eine Reihe Fehler in bekannten Programmen wie GnuPG und OpenSSL aufgedeckt.

Das dritte von der CII geförderte Projekt ist False Positive Free Testing unter der Leitung von Pascal Cuoq, einem der Gründer von TrustInSoft und dessen Chief Scientist. Es baut auf TIS Interpreter auf, einem kommerziellen Software-Analysewerkzeug, das wiederum auf Frama C basiert, einem C-Debugger. Er prüft für jede Anweisung eines getesteten Programms, ob sie zu unvorhergesehenem Verhalten führen kann.

TIS Interpreter und ähnliche Ansätze auf Basis von Frama C führen bisher auch zu False Positives, also Fehlermeldungen, die gar keinem realen Fehler entsprechen. Ziel des neuen Projekts ist es, Fehler aufzudecken, aber False Positives vollständig zu vermeiden. Es konzentriert sich zunächst auf OpenSSL: Mit American Fuzzy Lop werden Tests dieser Software durchgeführt, die der neue TIS Interpreter auf Fehler untersucht. Im Erfolgsfall soll er auch für andere Programme nutzbar gemacht werden. Die erste quelloffene Version wird voraussichtlich 2016 vorliegen.

„Zwar sind alle Projekte unterschiedlich, deren Unterstützung wir ankündigen, aber alle sind kritisch für unsere weltweite Computing-Infrastruktur und Cybersicherheit“, kommentierte der Executive Director der Linux Foundation, Jim Zemlin. Mit dem Förderprogramm und Ratliff als Chefin der CII bringe die Organisation sich in eine gute Position, um Infrastruktur-Lücken in den kommenden Monaten und Jahren zu verhindern. Ziel seien „ganzheitlichere Lösungen für Open-Source-Sicherheit.“

Die CII wurde 2014 in Reaktion auf Lücken wie Heartbleed in OpenSSL gegründet, um die Sicherheit von wichtigen Open-Source-Projekten zu verbessern. Je verbreiteter ein Programm, desto wahrscheinlicher eine Unterstützung – vorausgesetzt natürlich, es fehlte ihm bisher an Mitteln. Anträge werden vierteljährlich von einem Komitee geprüft.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de