Software::Kommunikation
Mozilla startet Sicherheitsmetrik-Projekt
Das Projekt »Mozilla Security Metrics« soll die relative Sicherheit von Software im zeitlichen Verlauf messen.
Wie die Sicherheitsbeauftragte von Mozilla, Window Snyder, ankündigte, plant die Organisation, die noch zu entwickelnde Metrik auf alle ihre Produkte einschließlich künftiger Versionen von Firefox anzuwenden. Die Managerin ist der Ansicht, dass das einfache Zählen von Fehlern längst nicht genügt. Doch welche Metrik sinnvoll ist, das müsse erst noch herausgefunden werden.
Zu diesem Zweck hat Mozilla eine Zusammenarbeit mit dem Sicherheitsforscher Rich Mogull begonnen, aus der letztlich das gesuchte Modell für die Metrik hervorgehen soll. Die Metrik soll die Effektivität der Maßnahmen in der Entwicklung zur Verbesserung der Sicherheit und das relative Risiko, dem die Anwender ausgesetzt sind, messen. Eine absolute Messung der Sicherheit kann es laut Frau Snyder nicht geben, daher soll die Entwicklung der Metrik über die Zeit aufgezeichnet werden. So sollen sich relative Verbesserungen oder Verschlechterungen identifizieren lassen. Auch die Erkennung von besonders problematischen Zonen soll so möglich werden.
Eine Zusammenfassung der Projektziele und ein erster Entwurf des Modells wurden befremdlicherweise als XLS-Datei publiziert, die nicht einmal von OpenOffice.org korrekt darstellbar ist. Als Alternative stehen CSV-Dateien als ZIP-Archiv zur Verfügung. Die endgültige Version des Dokuments soll nach Einarbeitung aller Rückmeldungen und Kommentare zu dem Entwurf in einem anderen Format veröffentlicht werden.
