Gemeinschaft::Organisationen
Core Infrastructure Initiative arbeitet an »Best Practices«-Abzeichen
Die von der Linux Foundation finanzierte »Core Infrastructure Initiative« will es leichter machen, unter der Vielzahl von freien Projekten diejenigen zu identifizieren, die höchste Ansprüche an Code-Qualität, Sicherheit und Stabilität erfüllen.
Linux Foundation
Die
Core Infrastructure Initiative hat damit begonnen, ein Abzeichen zu entwickeln, das an freie Projekte vergeben werden kann, die hohen Anforderungen an Sicherheit und Codequalität gerecht werden. Zur Zeit werden noch die genauen Kriterien abgesteckt, unter denen das
Abzeichen vergeben werden soll. Die freie Software-Gemeinschaft ist aufgefordert, ihre Meinung hierzu zu äußern und das Abzeichen mit zu gestalten.
Der erste Entwurf der Kriterien ist als Github-Projekt verfügbar. Neben den eigentlichen Kriterien gehört dazu auch ein längeres Dokument über die Hintergründe. Beide Dokumente stehen sowohl unter der MIT-Lizenz als auch unter der Creative Commons Attribution 4.0 International (CC BY 4.0). Die Initiative wird von David A. Wheeler und Dan Kohn geleitet. Wheeler ist ein Fachmann für Open Source und Sicherheitsforschung, der am Institute for Defense Analyses (IDA) arbeitet. Beide Autoren haben bereits viele relevante Publikationen vorzuweisen.
Das »Best Practices«-Abzeichen soll allen Anwendern, die neue Software suchen, Hinweise geben, welche freie Software am ausgereiftesten und am besten gepflegt ist. Diese Informationen zu einem Projekt zu finden, kann im Einzelfall ziemlich schwierig sein und Unsicherheit erzeugen. Dem will die CII entgegenwirken, indem sie diese Informationen sichtbarer macht. Im Wesentlichen sollen die Projektverantwortlichen selbst Auskunft über die Erfüllung der Kriterien geben und erhalten dann im Gegenzug das Abzeichen, das sie auf der Projektseite platzieren können. Das Abzeichen ist kostenlos. Anfänglich soll es nur ein Abzeichen geben, später könnte es in verschiedenen Abstufungen erhältlich sein.
Zu den Kriterien für das Abzeichen zählen, dass das Projekt eine Webseite mit sinnvollen Inhalten besitzt und unter einer freien Lizenz steht. Es muss zumindest eine Anleitung geben, wie man es compiliert und installiert. Der Quellcode muss in einem öffentlichen Versionsverwaltungssystem verfügbar sein. Weitere verbindliche Anforderungen sind eine Möglichkeit, Fehler zu melden, sinnvolle Versionsnummern und ein Änderungslog.
Bezüglich der Qualität wird ein funktionierendes automatisches Generiersystem gefordert, wo ein Generieren nötig ist, eine automatisierte Test-Suite, und sauberer Quellcode. Auch an die Sicherheit werden hohe Anforderungen gestellt. Der Download muss auf sichere Weise erfolgen. Es muss ein Prozess zur Reaktion auf Sicherheitslücken vorhanden sein, einschließlich aktueller Patches. Das Programm muss mit mindestens einem statischen und einem dynamischen Analysewerkzeug untersucht worden sein.
){kind=logo}
