Software::Security
Core Infrastructure Initiative stellt Census-Projekt vor
Die von der Linux Foundation finanzierte »Core Infrastructure Initiative« hat damit begonnen, aktiv in der freien Softwarewelt nach Projekten zu suchen, die Sicherheitsrisiken darstellen könnten und Hilfe benötigen. Erste Ergebnisse des Census-Projekts sind jetzt verfügbar.
Linux Foundation
Das Census-Projekt der Core Infrastructure Initiative
Der
kritische Heartbleed-Fehler in OpenSSL vom April 2014 hat die Anwender weltweit wachgerüttelt. Nicht nur Endanwender, sondern ganze Branchen hängen entscheidend von der Sicherheit dieser Bibliothek ab, das wurde als Konsequenz des zwei Jahre lang nicht erkannten Fehlers klar, und Reaktionen ließen nicht lange auf sich warten. Zahlreiche Personen und Organisationen haben sich den Quellcode von OpenSSL angesehen,
Unterstützung zugesichert oder Alternativen betrachtet.
Die Linux Foundation, ein Industriekonsortium zur Förderung des Einsatzes von Linux und freier Software und zur Zusammenarbeit an offenen Projekten, zog ebenfalls Konsequenzen und gründete die Core Infrastructure Initiative, die mit einem Fonds aus Spendengeldern in Millionenhöhe ausgestattet ist. Sie wird von Firmen wie Adobe, Amazon, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, HP, Huawei, IBM, Intel, Microsoft, NetApp, Rackspace, salesforce.com und VMware finanziert. Sie soll Projekte unterstützen, die für das ganze Internet oder ganze Industriezweige kritisch sind und dringend Geld benötigen, beispielsweise GnuPG, NTPd, OpenSSL und OpenSSH.
Jetzt hat die Core Infrastructure Initiative ein weitergehendes Projekt vorgestellt. Das Census-Projekt analysiert eine große Zahl von freien Softwareprojekten, wobei kaum ein wichtiges Projekt fehlen dürfte. Diese Analyse geschieht automatisch in bestimmten Intervallen und wendet bestimmte Kriterien an, um das Sicherheitsrisiko eines Projekts einzuschätzen. Census dient allerdings lediglich dazu, dem Leitungsgremium der Core Infrastructure Initiative einen Überblick zu verschaffen. Die zu unterstützenden Projekte werden weiter manuell ausgewählt, doch soll der Census eine wertvolle Hilfe dafür sein.
Die von Census erhobenen Daten stammen von OpenHub und Debian, darüber hinaus wird nach Sicherheitslücken in der CVE-Datenbank gesucht. Die initiale Liste der zu untersuchenden Projekte ist allerdings manuell erstellt. Aus den erhobenen Daten wird anhand heuristischer Regeln eine Bewertung von 0 (kein Risiko) bis 16 Punkten (hohes Risiko) erzeugt. So erhält ein Projekt einen »Strafpunkt«, wenn es keine Webseite hat. Sicherheitslücken mit CVE-Nummern ergeben einen Punkt bei einer Lücke, zwei Punkte bei zwei oder drei Lücken und drei Punkte bei vier oder mehr Lücken. Diese Bewertung hat allerhand Ungenauigkeiten, führt aber immerhin zu gesteigerter Beachtung.
Auch die Zahl der Beitragenden in den letzten zwölf Monaten geht in die Bewertung ein. Wenige oder eine unbekannte Zahl von Beitragenden ergeben bis zu fünf Punkte. Besonders weit verbreitete Pakete erhalten einen Extrapunkt, da sie mehr Aufmerksamkeit verdienen. Ein Paket, das direkt über das Netz arbeitet oder erreichbar ist, erhält zwei Punkte. Einen Punkt erhält es, wenn es Netzwerkdaten verarbeitet oder als Root läuft. Nur in einem Fall wird eine Reduktion von Punkten vorgenommen, und zwar wenn es sich um ein reines Datenpaket handelt.
Die Ankündigung stellt weitere vorgeschlagene Kriterien vor und präsentiert die ersten Ergebnisse. Demnach war die höchste ermittelte Punktzahl 11, sie wurde von vier Paketen erreicht: tcpd, whois, ftp und netcat-traditional. Das bedeutet nicht, dass eines der Programme derzeit unsicher ist, sondern dass sie ein gewisses Risiko für Sicherheitslücken haben und genauer betrachtet werden sollten. Weitere Einzelheiten zum Census-Projekt liefert ein Whitepaper (PDF), von dem es auch eine Zusammenfassung (PDF) gibt.
){kind=small}
