Software::Security
Homeland Security will Sicherheit von Open Source erhöhen
Das Departement for Homeland Security (DHS) hat die Stanford Universität und zwei Sicherheitsfirmen mit dem Aufspüren sicherheitsrelevanter Fehler in Open Source (OSS) beauftragt.
Die zwei Direktorate für Wissenschaft und Technologie des DHS haben die Stanford Universität, sowie die Sicherheitsfirmen Coverity, Inc und Symantec mit einer Summe von 1,24 Mio. USD für die kommenden drei Jahre beauftragt, nach sicherheitsrelevanten Fehlern in Open Source zu suchen. Wie Repräsentanten des DHS gegenüber News.com mitteilten, will man mit dieser Maßnahme generell sicherheitskritische Fehler in Open Source aufspüren. Der Hintergrund dieser Ankündigung ist der im amerikanischen Regierungssektor weit verbreitete Einsatz von FOSS.
Die konzertierte Aktion läuft unter dem Codenamen "Identifizierung von Verwundbarkeiten und Sanierung. Open Source-Härtungsprojekt" und soll größtenteils automatisch abgewickelt werden. Dafür bedient man sich eines Quellcode-Analyse-Tools der Firma Coverity, das vorab von Symantec auf Herz und Nieren getestet werden soll. In der geplanten Zusammenarbeit zwischen Coverity und der Stanford-Universität soll ein System entstehen, mit dem die Fehlersuche nach Sicherheitslücken ab März 2006 automatisch begonnen werden kann. Im Ergebnis soll das System dem Aufbau einer Datenbank für sicherheitskritische Fehler in weit verbreiteter OSS dienen, die für alle Entwicklern bei der Verbesserung ihrer Software frei zugänglich sein soll. In der Liste der analysierten Software finden freie Projekte wie der Linux-Kernel, Firefox, BIND, Ethereal, KDE, FreeBSD, OpenBSD, OpenSSL, MySQL und Apache namentliche Erwähnung.
Der Mitbegründer von Coverity, David Park, verweist auf die möglichen Vorteile der neuen Sicherheitsinitiative für OSS. Meist, so Park, seien Tools zur Analyse von Quellcode sehr teuer und für OSS-Entwickler kaum erschwinglich. Andererseits finden solche gekauften oder selbst gestrickten Tools bei der geschlossenen Software-Entwicklung (CSS) häufig Verwendung, um auf effiziente Weise solche Fehler zu beseitigen. Die neue Initiative, so Parks weiter, hebe OSS auf die gleiche Stufe mit CSS und wird damit die derzeit existierende Ungleichheit zu einem gewissen Grad beseitigen.
Erste kritische Töne gegen die Initiative kommen vom Apache-Projekt, für das stellvertretend Direktor Ben Laurie die Bemühungen des DHS grundsätzlich begrüßt. Allerdings fragt sich Laurie, warum man die teuren Tools zur Analyse des Quellcode nicht einfach der OSS-Community spenden könne, statt den Profit kommerzieller Firmen bei der Aktion in den Vordergrund zu stellen. Zudem fragt sich Laurie auch: "Warum denkt das DHS, dass man für das Aufspüren von Fehlern und nicht für deren Beseitigung Geld aufwenden sollte". Dawson Engler, Professor der Stanford Universität, hält den Einwänden Lauries entgegen, dass das Liefern von Bugreports unverzichtbarer Bestandteil der Fehlerbeseitigung sei. Die Finanzierung dieser Bugreports sei weitaus besser als das, was die OSS-Community derzeit habe, nämlich gar nichts. Eine Stellungnahme des DHS gab es bislang noch nicht.
