Open Source im professionellen Einsatz

Linux Foundation bewilligt Geld für weitere Security-Projekte

23.06.2015

Die Linux Foundation unterstützt künftig drei weitere Projekte, die sich um die Sicherheit kritischer Softwareprojekte kümmern - darunter eines des Golem-Autors Hanno Böck.

317

Mit insgesamt 500.000 US-Dollar will die unter dem Dach der Linux Foundation gegründete Core Infrastructure Initiative (CII) drei Projekte unterstützen, die sich um mehr Sicherheit in Open-Source-Software (OSS) kümmern. Eines davon ist das Fuzzing-Projekt des Golem-Autors Hanno Böck. Außerdem werden das Reproducible-Builds-Projekt der Debian-Entwickler Holger Levsen und Jérémy Bobbio sowie die Initiative False-Positive-Free-Testing von Pascal Cuoq finanziert.

Böck rief das Fuzzing-Projekt ins Leben, um mit Hilfe der gleichnamigen Fehlererkennungstechnik Schwachstellen in Open-Source-Software zu entdecken. Inzwischen konnte das Projekt Fehler in GnuPG und in OpenSSL entdecken. Mit der Finanzierung durch die CII soll das Projekt weiter nach Fehlern in kritischer Software suchen können sowie gleichzeitig die dafür benötigten Werkzeuge verbessert, automatisiert und dokumentiert werden.

Außerdem wird das Debian-Projekt Reproducible Builds finanziert. Damit sollen künftig nicht nur Debian-Versionen sogenannte reproduzierbare Builds liefern, die es jedem Anwender des Systems ermöglichen sollen, den Compile-Vorgang von Paketen nachzuvollziehen und zu prüfen. Auch Fedora, Ubuntu und OpenWRT sollen mit Hilfe des Projekts reproduzierbare Build-Prozesse umsetzen können.

Schließlich will die CII auch eine quelloffene Version eines Analysewerkzeugs für C-Code der Firma TrustInSoft finanzieren. Mit dem sogenannten TIS Interpreter sollen Falschmeldungen über vermeintliche Softwarefehler weitgehend ausgeschlossen werden, was die Fehleranalyse der Entwickler deutlich beschleunigen soll. Gegenwärtig wird das Werkzeug an OpenSSL getestet und soll 2016 als OSS veröffentlicht werden.

Zudem ernannte die Linux Foundation die erfahrene IT-Sicherheitexpertin Emily Ratliff zur Koordinatorin der Core Infrastructure Initiative. Zu den Unterstützern der CII zählen Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, Netapp, Rackspace, VMware sowie neuerdings Adobe, Bloomberg, HP, Huawei und Salesforce.com. Die Unternehmen stellten einen Gesamtbetrag von 5,4 Millionen US-Dollar bereit. Die Initiative wurde im Mai 2014 gegründet, nachdem der Heartbleed-Bug in OpenSSL bekannt wurde. Damals erhielten die Projekte Network Time Protocol, OpenSSH und OpenSSL Geld aus der ersten Finanzierungsrunde. (Jörg Thoma/Golem.de)

Ähnliche Artikel

  • Neues API erleichtert Zugang zur OSVDB

    Das Projekt der Open Source Vulnerability Database (OSVDB) hat ein Application Programming Interface (API) im Teststadium veröffentlicht, mit dem sich die OSVDB und andere Sammelstellen für Sicherheitslücken einfacher integrieren und referenzieren lassen.

  • Linux Foundation startet Projekt für Javascript-Ökosystem

    Die JS-Foundation ist das nächste Kollaborationsprojekt der Linux Foundation. Die Organisation löst die bisherige jQuery-Foundation ab und soll zentraler Bestandteil des Javascript-Ökosystems werden. Unterstützt wird die JS-Foundation unter anderem von IBM und Samsung.

  • Parteien-Check: Unsicher im Netz

    Unsere Schwesterpublikation Golem.de hat sich einige der Webseiten angesehen, die Parteien im Wahlkampf nutzen. Zum Teil missachten diese grundlegende Regeln der IT-Sicherheit.

  • Uni Passau forscht zu MapReduce

    Die Deutsche Forschungsgemeinschaft (DFG) hat der Universität Passau ein Forschungsvorhaben zu Googles Rechen-Framework MapReduce bewilligt.

  • Core Infrastructure Initiative vergibt Best Practices Badges

    Die von der Linux Foundation organisierte und von diversen IT-Konzernen finanzierte Core Infrastructure Initiative (CII) hat erste Projekte mit dem Best Practices Badge ausgezeichnet.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.