Linux Foundation führt Sicherheitsabzeichen ein

Die Core Infrastructure Initiative (CII) der Linux Foundation hat Sicherheitsauszeichnungen für Linux-Programme und -Komponenten eingeführt. Curl, GitLab, der Linux-Kernel, Node.js, OpenBlox, OpenSSL und Zephyr werden auf einer Übersichtsseite als die ersten Projekte gemeldet, die den Test bestanden haben. Als „durchgefallen“ wird hingegen der Fenster-Manager byobu gemeldet.

Die CII will damit Qualität und Sicherheit quelloffener Anwendungen weiter verbessern. „Dies ist ein kostenloses Programm, um die Sicherheit, Qualität und Stabilität quelloffener Software zu bestimmen“, heißt es neutral in der Ankündigung. „Die Online-App CII Best Practices ermöglicht es Entwicklern, schnell herauszufinden, ob sie die optimalen Vorgehensweisen einhalten, und gegebenenfalls ein Abzeichen zu erhalten, das sie auf GitHub und anderen Online-Portalen verwenden können. Die App und ihre Kriterien sind selbst ein Open-Source-Projekt, zu dem Entwickler beitragen können.“

Die Seite zum Programm enthält auch eine Einschätzung, wie sich OpenSSL seit Bekanntwerden der Heartbleed-Schwachstelle verbessert hat, die letztlich zur Einführung der Core Infrastructure Initiative führte. Zunächst habe das Projekt etwa einem Drittel der Kriterien nicht entsprochen, heißt es. Jetzt erfülle es alle Anforderungen.

„Open-Source-Projekte haben oft sehr gute Sicherheitspraktiken eingerichtet, aber sie benötigen eine Möglichkeit, sie mit empfohlenen Vorgehensweisen der Branche und der Community abzugleichen und so sicherzustellen, dass sie sich weiter verbessern“, kommentiert der CTO der Linux Foundation, Nicko von Sommeren. Dem „CII Best Practices“-Programm steht Sicherheitsforscher David Wheeler vom Institute for Defense Analyses (IDA) vor. Es soll als eine Art Benchmark dienen.

Quelloffene Software wird weltweit für eine Vielzahl von Systemen genutzt, von Datenbank-Kontrolle bis zu Web-Backend-Systemen. Die CII soll sicherstellen, dass zentrale Projekte über die Möglichkeit verfügen, maximale Sicherheit zu garantieren. Dazu steht ihr ein Budget von 1,2 Millionen Dollar jährlich zur Verfügung. Je 100.000 Dollar tragen Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware als Förderer bei.

Die CII wurde 2014 in Reaktion auf Lücken wie Heartbleed in OpenSSL gegründet, um die Sicherheit von wichtigen Open-Source-Projekten zu verbessern. Je verbreiteter ein Programm, desto wahrscheinlicher eine Unterstützung – vorausgesetzt natürlich, es fehlte ihm bisher an Mitteln. Anträge werden vierteljährlich von einem Komitee geprüft.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de