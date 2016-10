Gesellschaft::Politik/Recht

Umstrittenes FOSSA-Projekt schließt erste Audits ab

Das Projekt EU-FOSSA, in dem die Europäische Union unter anderem das Ziel verfolgt, wichtige freie Softwarepakete, die in den EU-Institutionen häufig genutzt werden, einem Sicherheits-Audit zu unterziehen, hat die beiden ersten Audits abgeschlossen.

EU Europäische Union

Ende 2014 hatte das Europäische Parlament eine Million Euro bewilligt, die in das auf zwei Jahre ausgelegte Projekt EU-FOSSA (EU-Free and Open Source Software Auditing) einflossen. Damit sollen freie Software-Projekte, die vom Europäischen Parlament und der Europäischen Kommission häufig verwendet werden, auf ihre Sicherheit hin überprüft werden. Das dreiteilige Pilotprojekt hat das Ziel, mit einem systematischen Ansatz den EU-Institutionen mehr Sicherheit zu geben, dass die dort verwendete freie Software vertrauenswürdig ist.

Dabei sollte zunächst festgestellt werden, welche freie Software häufig im Europäischen Parlament und der Europäischen Kommission Verwendung findet und wie man diese am besten einem Code-Review unterziehen kann, das im Idealfall gefundene Probleme gleich beseitigt. Die ersten beiden Ziele waren der Webserver Apache und die Passwortverwaltung KeePass.

Die Audits dieser beiden Produkte sind nun abgeschlossen, ohne dass kritische Lücken gefunden wurden. Der Code sei in Bezug auf Sicherheit von guter Qualität, auch wenn einige unkritische Punkte moniert wurden. Die Ergebnisse wurden an die Entwickler der beiden Projekte übermittelt. Die Resultate der Audits sind noch nicht veröffentlicht worden, wie jetzt Joinup berichtet. Dazu soll die Zustimmung der jeweiligen Entwickler abgewartet werden.

Neben den Ergebnissen der ersten beiden Audits wird außerdem eine Inventarliste der vom Europäischen Parlament und der Europäischen Kommission verwendeten Open-Source-Lösungen sowie eine Studie der bei Open-Source-Projekten verwendeten Sicherheitspraktiken veröffentlicht. In dieser Woche entscheidet das Europäische Parlament zudem über die Vergabe von weiteren zwei Millionen Euro zur Fortsetzung des Projekts und der Einrichtung eines Bug-Bounty-Programms.

Die FSFE in Form ihres Präsidenten Matthias Kirschner hatte harsche Kritik an Teilen des Projekts geäußert. So seien die Dokumente zur Verfahrensweise, die von den drei beauftragten Consulting-Unternehmen verfasst worden seien, gegen den ausdrücklichen Rat der FSFE hinter verschlossenen Türen erstellt und erst in der finalen Form veröffentlicht worden.

Die 550 Seiten starken Dokumente sind laut FSFE stark fehlerbehaftet und lassen am Sachverstand der Beteiligten zweifeln. Kompetente Ansprechpartner in den Projekten seien oft nicht angesprochen worden. Auch Mirko Böhm als Vertreter des Open Invention Network führt in seinem Blog einige der sinnlosen Empfehlungen aus den Dokumenten an.