Gemeinschaft::Organisationen
Core Infrastructure Initiative vergibt erste »Best Practices«-Abzeichen
Über acht Monate nach der ersten Ankündigung hat die von der Linux Foundation finanzierte »Core Infrastructure Initiative« die ersten Projekte identifiziert, die höchste Ansprüche an Code-Qualität, Sicherheit und Stabilität erfüllen. Weitere Projekte können sich ab sofort bewerben.
Linux Foundation
Das von der
Core Infrastructure Initiative seit August 2015 entwickelte Abzeichen wird an freie Projekte vergeben, die hohen Anforderungen an Sicherheit und Codequalität gerecht werden. Das Abzeichen wird nicht mechanisch vergeben und die Kriterien zum dessen Erlangen sind nicht starr, sondern können im Laufe der Zeit angepasst werden. Sie sind
als Github-Projekt verfügbar. Neben den eigentlichen Kriterien gehört dazu auch ein längeres Dokument über die Hintergründe. Beide Dokumente stehen sowohl unter der
MIT-Lizenz als auch unter der
Creative Commons Attribution 4.0 International (CC BY 4.0). Die Initiative wird von David A. Wheeler und Dan Kohn geleitet. Wheeler ist ein Fachmann für Open Source und Sicherheitsforschung, der am Institute for Defense Analyses (IDA) arbeitet. Beide Autoren haben bereits viele relevante Publikationen vorzuweisen.
Die ersten Projekte, die nun das Abzeichen erhalten haben, sind Curl, GitLab, Linux, OpenBlox, OpenSSL, Node.js und Zephyr. Weitere Projekte haben sich schon beworben und werden zur Zeit untersucht. Die Einzelheiten und den Status aller Projekte kann man bei der CII nachlesen.
Das Projekte wie OpenSSL und Node.js, die einen schlechten Ruf bezüglich ihrer Sicherheit erworben haben, nun mit dem Abzeichen aufwarten können, liegt daran, dass das Abzeichen den aktuellen Zustand und nicht die Vergangenheit bewertet. Diese Projekte haben Verbesserungen in ihrer Organisation und ihren Prozessen eingeführt und erfüllen die verbindlichen Kriterien nun zu 100%. Damit gehören sie nun zu den Projekten, bei denen sich Benutzer darauf verlassen können, dass die Software ausgereift und gut gepflegt ist. Fehler werden angemessen behandelt, aktualisierte Versionen über sichere Kanäle bereitgestellt und der Code wird mit statische und dynamischen Analysewerkzeugen fortlaufend überprüft und anhand der Ergebnisse verbessert.
Das »Best Practices«-Abzeichen ist für die Projekte kostenlos, aber auch nicht mit Zuwendungen verbunden. Die Projekte können das Abzeichen auf ihrer Webseite anbringen. Anfänglich gibt es nur ein Abzeichen, aber über verschiedene Abstufungen wurde bereits nachgedacht.
){kind=logo}
