Login
Newsletter
Werbung

Mi, 19. Februar 2020, 13:38

Gemeinschaft::Organisationen

Core Infrastructure Initiative stellt Census II-Bericht vor

Die von der Linux Foundation finanzierte »Core Infrastructure Initiative« hat eine Liste der meistgenutzten freien Software-Koponenten veröffentlicht. Bei diesen Komponenten, deren Sicherheit gründlich geprüft werden sollte, handelt es sich überwiegend um JavaScript- und Java-Module.

Linux Foundation

Vor viereinhalb Jahren hatte die von der Linux Foundation finanzierte »Core Infrastructure Initiative« die ersten Ergebnisse des Census-Projekts vorgestellt. Das Projekt hatte zum Ziel, aktiv in der freien Softwarewelt nach Projekten zu suchen, die Sicherheitsrisiken darstellen könnten und Hilfe benötigen. Zusammen mit dem Laboratory for Innovation Science at Harvard (LISH) wurde diese Aktion fortgesetzt, was jetzt zur Veröffentlichung der Ergebnisse des »Census II« führte.

Census II soll nach Angaben der Linux Foundation ein Verständnis für die Komplexität der modernen Software-Lieferkette vermitteln. Das Projekt versuchte daher in erster Linie die einzelnen Komponenten zu ermitteln, die als Bestandteil der Software ausgeliefert werden, und zählt, wie häufig diese Komponenten genutzt werden. Dabei wurden neben öffentlich verfügbaren Daten auch die Angaben von Unternehmen zu interner Software verwendet. Das Ergebnis: JavaScript-Module (vor allem wohl durch Node.js) dominieren das Ergebnis bei weitem. Der Rest wiederum wird durch Java-Module dominiert.

Für den Bericht zu Census II wurden etwa 200 freie Projekte untersucht. Die 20 am häufigsten eingesetzten werden im Bericht genauer untersucht. Daraus resultierte eine Rangliste, wie verwundbar sie gegen Angriffe sind. Es wurde nicht konkret nach Sicherheitslücken gesucht und es erfolgte keine Bewertung der Software. Offenbar wurden lediglich wenige Kritierien wie die Entwicklungsaktivität und Anzahl der offenen Fehlerberichte betrachtet. Die 20 aufgelisteten Projekte gehören jedoch nach Meinung der Forscher zu denjenigen, die am ehesten einem ausgiebigen Sicherheitsaudit unterzogen werden sollten. Der Bericht kann als PDF-Datei frei heruntergeladen werden.

Werbung
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung