Open Source im professionellen Einsatz

CII macht weiterhin Geld für Reproducible Builds locker

15.11.2016

Die Core-Infrastructure-Initiative (CII) der Linux-Foundation finanziert das Reproducible-Builds-Projekt weiterhin. Dieses will die aus Quellcode erstellten Binaries sicherer machen.

296

Programme in kompilierten Sprachen führen Rechner in der Regel nicht im Quellcode aus, sondern als Binärdateien. Diese unterscheiden sich allerdings in der Regel voneinander, auch wenn sie demselben Quellcode entspringen. Abhängig zum Beispiel davon, welche Softwareversionen oder welche Rechnerarchitektur beim Übersetzen des Quellcodes zum Einsatz kommt, weichen die Checksummen der erzeugten Binärdateien voneinander ab.

Das will das Reproducible-Builds-Projekt aus Sicherheitsgründen ändern. Denn auch wenn der Quellcode frei von Malware ist, lässt sich diese beispielsweise im Buildprozess heimlich hinzufügen, ohne dass die User es am Ende merken. Denn die Binärpakete sind nicht transparent und lesbar. Ist ein Paket hingegen reproduzierbar gebaut, lässt sich anhand einer Checksumme sicherstellen, dass die Binärdatei tatsächlich aus dem Quellcode stammt.

Das Debian-Projekt bietet bereits 91 Prozent reproduzierbar gebaute Pakete im Testing-Repository an. Ziel ist es aber, sämtliche Pakete reproduzierbar zu machen. Das unterstützt auch die CII und kündigte an, den finanziellen Support für das Reproducible-Builds-Projekt fortzusetzen. Mit welcher Summe die Initiative das Projekt unterstützt, blieb dabei offen.

Konkret will sie die Debian-Entwickler Chris Lamb, Mattia Rizzolo, Ximin Luo, Vagrant Cascadian und Holger Levsen finanzieren. Auch Ed Maste unterstützt sie, der für Free BSD an solchen Builds arbeitet. Laut Chris Lamb will das Projekt die Mittel dazu verwenden, längerfristige Aufgaben anzugehen und an Upstream-Patches zu arbeiten, die viel technische und zeitliche Investitionen erfordern. Zugleich will man die Infrastruktur zugänglicher für normale Anwender gestalten.

Die Core Infrastructure Initiative ist ein Multimillionen-Dollar-Projekt der Linux Foundation, das zahlreiche große Unternehmen finanziell unterstützen. Es zielt darauf ab, die oft unbezahlte Arbeit an grundlegenden Sicherheitsbausteinen für das Internet finanziell zu sichern und zu fördern. Dazu gehören etwa Open SSL, Open SSH und NTPd.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.