Die Open Source Security Foundation (OpenSSF) hat bei der jüngst beendeten Black Hat Europe eine neue Initiative für mehr Sicherheit im Code vorgestellt: Den OpenSSF CVE Benchmark.
In den Benchmark hat die OpenSSF nach eigenen Angaben die Metadaten von mehr als 200 historischen Sicherheitslücken in JavaScript und TypeScript verpackt. Außerdem enthält der Benchmark angreifbaren Code. Außerdem enthalten sind Tools, mit denen sich die Codebasen der betroffenen Software analysieren lassen. Mit diesen Real-World-Analysen sollen Sicherheitsexperten in der Lage sein, diverse Security-Tools zu evaluieren.
Die OpenSSF sieht mehrere Vorteile in diesem Ansatz. Gegenüber den Tests mit synthetischen Code böten die echten, historischen CVEs reale Bedingungen und reale Codebasen. Außerdem ließe sich anschließend die gepatchte Version jede Codebasis erneut prüfen und damit die False-Positiv-Rate der Tools genau bestimmen.
Der Benchmark könne für jede der 200 Lücken feststellen, ob das Tool die Lücke aufspürt oder false Negatives liefert. Außerdem prüfe der Benchmark, b die gepatchte Version richtig erkannt werde.
Die OpenSSF ruft die Community zur Hilfe auf. Die bisher enthaltenen Tools ESLint, Nodejsscan und CodeQL sollen möglichst um weitere ergänzt werden. Auch bei den Datensätzen wäre Zuwachs erwünscht. Der Benchmark ist auf Github zu finden.
