18344

Das Open Source Sicherheits-Team

08.05.2008 | 16:15 Uhr |

Die Sicherheit von Open Source Software wird gerne als wichtiges Argument angeführt. Aber wer kümmert sich eigentlich darum die Anstrengungen zur Verbesserung quelloffener Programme zu koordinieren?

Quelloffene Software (Open Source) ist nicht von Natur aus sicherer als proprietäre Programme, denn Programmierer machen überall die gleichen Fehler. Der Vorteil bei Open Source ist, dass jeder sich die Quelltexte anschauen und nach Fehlern oder Sicherheitslücken suchen und diese beseitigen kann. Das bleibt allerdings ein theoretischer Vorzug, wenn es niemand macht oder wenn die nötigen Korrekturen nicht beim Anwender ankommen. Dieser notwendigen Koordination will sich oCERT widmen, eine Gruppe von Sicherheitsfachleuten, die nun auch von Google unterstützt wird.

David A. Wheeler hat in seinem kostenlos als PDF erhältlichen Buch "Secure Programming for Linux and Unix HOWTO" ( http://www.dwheeler.com/secure-programs/ ) drei wichtige Grundregeln für sichere Programme aufgestellt:

1. Die Quelltexte müssen auch tatsächlich von jemanden untersucht werden.
2. Entwickler und Programmierer müssen wissen, wie sicherer Code programmiert wird.
3. Werden Sicherheitslücken gefunden, müssen sie schnell beseitigt und die Korrekturen umgehend verteilt werden.

Der dritte Grundsatz erfordert eine zentrale Instanz, die sich darum kümmert, dass auch kleinere Open-Source-Projekte, die nicht über die nötigen Ressourcen verfügen, nicht außen vor bleiben. Eine solche Instanz gab es bislang nicht, oCERT (Open Source Computer Emergency Response Team) soll diese Lücke füllen.

Es soll zum Beispiel die Entdecker neuer Sicherheitslücken mit den Entwicklern der betroffenen Programme zusammen bringen oder Bug-Fixes an Linux-Distributoren kommunizieren, damit diese ihren Kunden zeitnah die aktuellsten Programmversionen liefern können. Bis dato hat oCERT vier Sicherheitsmeldungen veröffentlicht, deren erste GnuPG betrifft.

Das im März gegründete Projekt besteht aus einem fünfköpfigen Team, zwei Beratern und einer wachsenden Reihe von Mitgliedern. Letztere sind meist Open-Source-Projekte wie OpenSSH oder Clam AV sowie Linux-Distributoren wie SuSE oder Mandriva. Als Sponsoren unterstützen neben Google auch das Open Source Lab (OSL) und das Beratungsunternehmen Inverse Path das oCERT-Projekt. Alle drei sind schon lange Förderer des Open-Source-Gedankens.

0 Kommentare zu diesem Artikel
18344