Die Linux Foundation hat im Rahmen der Core Infrastructure Initiative (CII) angekündigt, drei Sicherheitsprojekte fördern zu wollen. Dafür stellt es rund 500.000 Dollar zur Verfügung. Mit dem Geld sollen die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck unterstützt werden. Außerdem hat die Organisation Emily Ratliff zur Leiterin der CII ernannt.
Seit über 20 Jahren ist Ratliff im Bereich IT-Sicherheit tätig. Unter anderem arbeitete sie bei AMD und IBM. Bei der Core Infrastructure Initiative ist sie künftig als Senior Director of Infrastructure Security tätig.
Mit Reproducible Builds verfolgt die Linux Foudation das Ziel, Binärprogramme aus ihrem Quellcode reproduzierbar zu machen. Auf diese Weise sollen Entwickler überprüfen können, ob Binärdateien wirklich auf den Quelltext zurückgehen. Bislang gestaltet sich dies schwierig, je nach verwendeter Compilerversion variiert das Ergebnis. Bereits kleine Unterschiede wie das Datum oder die Anordnung von Dateien können zu unterschiedlichen Binärdateien führen. Das Projekt will solche Variationen in Zukunft normalisieren.
Das zweite Projekt namens Fuzzing beschäftigt sich mit einer Technik, um Software zu testen. Damit Entwickler Fehler in ihren Programmen entdecken können, laufen diese in einer Black Box und werden dabei automatisch mit Zufallsdaten gefüttert. Das Fuzzing Project stammt von dem Sicherheitsforscher Hanno Böck. Es ist in der Lage, solche quelloffenen Fuzzing-Vorhaben zu koordinieren, zu verbessern und zu dokumentieren. Es hat schon eine Reihe Fehler in bekannten Programmen wie GnuPG und OpenSSL aufgedeckt.
Als letztes fördert die Linux Foundation das False Positive Free Testing unter der Leitung von Pascal Cuoq. Er ist der Gründer von TrustInSoft und dessen Chief Scientist. Das Projekt basiert auf TIS Interpreter. Dies ist ein kommerzielles Software-Analysewerkzeug, das wiederum den C-Debugger Frama C als Grundlage nutzt. Er prüft für jede Anweisung eines getesteten Programms, ob sie zu unvorhergesehenem Verhalten führen kann.
“Zwar sind alle Projekte unterschiedlich, deren Unterstützung wir ankündigen, aber alle sind kritisch für unsere weltweite Computing-Infrastruktur und Cybersicherheit”, kommentierte der Executive Director der Linux Foundation, Jim Zemlin. Mit dem Förderprogramm und Ratliff als Chefin der CII bringe die Organisation sich in eine gute Position, um Infrastruktur-Lücken in den kommenden Monaten und Jahren zu verhindern. Ziel seien “ganzheitlichere Lösungen für Open-Source-Sicherheit.”
Die Linux Foundation hat die CII 2014 in Reaktion auf Lücken wie Heartbleed in OpenSSL gegründet, um die Sicherheit von wichtigen Open-Source-Projekten zu verbessern. Je verbreiteter ein Programm, desto wahrscheinlicher eine Unterstützung – vorausgesetzt natürlich, es fehlte ihm bisher an Mitteln. Anträge werden vierteljährlich von einem Komitee geprüft.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.