In Kooperation mit dem Münchener Entwicklungsberater mgm security partners hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Projekt „Codeanalyse von Open Source Software“ (CAOS) gestartet. Entwicklerinnen und Entwickler sollen bei der Erstellung sicherer Softwareanwendungen unterstützt werden. Zudem will man das Vertrauen in Open-Source Software-steigern.
Im Fokus stand zunächst der Quellcode der Videokonferenzsysteme BigBlueButton und Jitsi. Kritische Schwachstellen hat das BSI den betroffenen Entwicklern mitgeteilt – diese konnten die gefundenen Sicherheitslücken den Angaben des BSI zufolge zeitnah beheben.
Weitere Mängel wurden im Rahmen eines Responsible-Disclosure-Verfahren adressiert. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.
Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, sind weitere Codeanalysen geplant. Das Projekt zur „Codeanalyse von Open Source Software“ wird unter dem Namen CAOS 2.0 fortgeführt. Die Ergebnisse werden nach einem Responsible-Disclosure-Verfahren ebenfalls auf der Webseite des BSI veröffentlicht. Das Verfahren gestattet Entwicklern eine angemessene Frist zur Behebung von Sicherheitslücken vor deren Veröffentlichung.
Mindestens ein Bedrohungsakteur hat Verbindungen nach China. Die Zero-Day-Lücke erlaubt die vollständige Kontrolle von Ivanti…
Der Trend hin zu Premium-Smartphones hält an. Dieses Segment verbessert sich wahrscheinlich um mehr als…
Bisher wurden nur Kameras eingesetzt, die Bilddaten liefern. Mit dem Laser soll es möglich werden,…
Anwendung der Technologie im B2C-Umfeld steigt von 19 auf 28 Prozent. Kamerafilter und Spiele sind…
ISG-Studie: Globale Systemintegratoren zunehmend unter Wettbewerbsdruck. Zahlreiche Fusionen mit Hilfe von Private-Equity-Kapital.
Eine Anfälligkeit erlaubt eine Remotecodeausführung innerhalb der Sandbox von Chrome. Betroffen sind Chrome 131 und…