Gesellschaft::Politik/Recht
EU-Projekt FOSSA legt Ziele der Sicherheits-Audits fest
Das FOSSA-Projekt hat unter anderem das Ziel, wichtige freie Softwarepakete einem Sicherheits-Audit zu unterziehen. Um herauszufinden, welche Projekte untersucht werden sollen, hatte das Projekt vor einem Monat eine Umfrage gestartet.
EU
Europäische Union
Schon Ende 2014 hatte das Europäische Parlament Finanzmittel bewilligt, um freie Software-Projekte, die vom Europäischen Parlament und der Europäischen Kommission verwendet werden, auf ihre Sicherheit zu analysieren. Inzwischen wurde das
Projekt EU-FOSSA (EU-Free and Open Source Software Auditing) gegründet, das vom Directorate General of Informatics (DIGIT) der Europäischen Kommission geleitet wird. Es handelt sich um ein Pilotprojekt mit dem Ziel, einen systematischen Ansatz anzubieten, mit dem EU-Institutionen sichergehen können, dass die freie Software, die sie verbreitet nutzen, vertrauenswürdig ist.
Das Projekt besteht aus drei Teilen. Neben einer vergleichenden Studie der Entwicklungsprozesse von Software in den EU-Institutionen und der freien Softwarewelt, die erkunden soll, wie man ein Code-Review freier Software für die EU durchführt, und der Ermittlung, welche freie Software im Europäischen Parlament und der Europäischen Kommission Verwendung findet, sollen auch ausgewählte freie Projekte einem Code-Review bezüglich ihrer Sicherheit unterzogen werden. Gefundene Probleme sollen an die betroffenen Projekte gemeldet werden, wenn möglich auch gleich mit Korrektur.
Um herauszufinden, welche Projekte am sinnvollsten analysiert werden sollten, hatte EU-FOSSA vor einem Monat eine Umfrage unter den EU-Institutionen gestartet. Letzte Woche wurden die Ergebnisse vorgestellt, nachdem über 3280 Antworten eingegangen waren.
Die Projekte, die die meisten Stimmen erhielten, sind der Webserver Apache HTTP und der Passwortspeicher KeePass. Beide sind sicherheitsrelevant und werden in den EU-Institutionen sehr häufig genutzt, Apache mit über 80% noch mehr als Keepass. Das Team hat sich daher vorgenommen, diese beiden Projekte einem Audit zu unterziehen. Der Audit soll aus automatisierten und manuellen Untersuchungen des Quellcodes bestehen. Details zur Methodik sind in den Dokumenten zu finden, die das Projekt bisher geliefert hat.
Angesichts der Reaktionen, die diese Dokumente bei der FSFE und dem Open Invention Network hervorgerufen haben, ist allerdings große Skepsis an der Nützlichkeit der Audits angebracht. Während Keepass ziemlich trivial zu untersuchen sein dürfte, ist es fraglich, ob die Verantwortlichen überhaupt eine Idee haben, welche Komplexität Apache mit all seinen Modulen aufweist. Zudem scheinen sie weder die Struktur noch die Vorgehensweise von freien Softwareprojekten verstanden zu haben.
){kind=small}
