Open Source: Linux Foundation bewilligt Geld für weitere Security-Projekte

Die Linux Foundation unterstützt künftig drei weitere Projekte, die sich um die Sicherheit kritischer Softwareprojekte kümmern - darunter eines des Golem-Autors Hanno Böck.

Artikel veröffentlicht am ,
Fuzzing-Werkzeuge können Bugs wie Heartbleed finden.
Fuzzing-Werkzeuge können Bugs wie Heartbleed finden. (Bild: Screenshot: Golem.de)

Mit insgesamt 500.000 US-Dollar will die unter dem Dach der Linux Foundation gegründete Core Infrastructure Initiative (CII) drei Projekte unterstützen, die sich um mehr Sicherheit in Open-Source-Software (OSS) kümmern. Eines davon ist das Fuzzing-Projekt des Golem-Autors Hanno Böck. Außerdem werden das Reproducible-Builds-Projekt der Debian-Entwickler Holger Levsen und Jérémy Bobbio sowie die Initiative False-Positive-Free-Testing von Pascal Cuoq finanziert.

Stellenmarkt
  1. CSB Spezialist (m/w/d)
    Hays AG, Schwabmünchen
  2. IT Business Analyst (m/w/d) Base Services
    ING Deutschland, Nürnberg
Detailsuche

Böck rief das Fuzzing-Projekt ins Leben, um mit Hilfe der gleichnamigen Fehlererkennungstechnik Schwachstellen in Open-Source-Software zu entdecken. Inzwischen konnte das Projekt Fehler in GnuPG und in OpenSSL entdecken. Mit der Finanzierung durch die CII soll das Projekt weiter nach Fehlern in kritischer Software suchen können sowie gleichzeitig die dafür benötigten Werkzeuge verbessert, automatisiert und dokumentiert werden.

Reproduzierbare Builds und weniger Falschmeldungen

Außerdem wird das Debian-Projekt Reproducible Builds finanziert. Damit sollen künftig nicht nur Debian-Versionen sogenannte reproduzierbare Builds liefern, die es jedem Anwender des Systems ermöglichen sollen, den Compile-Vorgang von Paketen nachzuvollziehen und zu prüfen. Auch Fedora, Ubuntu und OpenWRT sollen mit Hilfe des Projekts reproduzierbare Build-Prozesse umsetzen können.

Schließlich will die CII auch eine quelloffene Version eines Analysewerkzeugs für C-Code der Firma TrustInSoft finanzieren. Mit dem sogenannten TIS Interpreter sollen Falschmeldungen über vermeintliche Softwarefehler weitgehend ausgeschlossen werden, was die Fehleranalyse der Entwickler deutlich beschleunigen soll. Gegenwärtig wird das Werkzeug an OpenSSL getestet und soll 2016 als OSS veröffentlicht werden.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    16./17. September 2021, online
  2. C++ 20: Concepts - Ranges - Coroutinen - Module
    4.-8. Oktober 2021, online
  3. OpenShift Installation & Administration
    9.-11. August 2021, online
Weitere IT-Trainings

Zudem ernannte die Linux Foundation die erfahrene IT-Sicherheitexpertin Emily Ratliff zur Koordinatorin der Core Infrastructure Initiative. Zu den Unterstützern der CII zählen Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, Netapp, Rackspace, VMware sowie neuerdings Adobe, Bloomberg, HP, Huawei und Salesforce.com. Die Unternehmen stellten einen Gesamtbetrag von 5,4 Millionen US-Dollar bereit. Die Initiative wurde im Mai 2014 gegründet, nachdem der Heartbleed-Bug in OpenSSL bekannt wurde. Damals erhielten die Projekte Network Time Protocol, OpenSSH und OpenSSL Geld aus der ersten Finanzierungsrunde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Connect-App  
CDU zeigt offenbar Hackerin nach Melden von Lücken an

Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an
Artikel
  1. CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit
    CDU-Sicherheitslücke
    Juristische Drohungen schaden der IT-Sicherheit

    Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.
    Ein IMHO von Hanno Böck

  2. Crucial P5 Plus (SSD) im Test: Spät und spitze
    Crucial P5 Plus (SSD) im Test
    Spät und spitze

    Crucial hat sich lange Zeit gelassen, eine NVMe-SSD mit PCIe Gen4 zu veröffentlichen. Die P5 Plus überzeugt dafür durchgehend.
    Ein Test von Marc Sauter

  3. Ladestationen: Tesla erhöht Supercharger-Preise deutlich
    Ladestationen
    Tesla erhöht Supercharger-Preise deutlich

    Die Nutzung der Tesla-Supercharger kostet ab sofort mehr. Die Preise für das Laden liegen nun bei 0,40 Euro pro kWh - spürbar höher als Anfang 2021.

Trollversteher 24. Jun 2015

Wie sollen diese Interessenskonflikte bitte aussehen? Ach. Und diese Lizenz soll bitte...

pythoneer 24. Jun 2015

Ja.



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • Robas Lund DX Racer Gaming-Stuhl 153,11€ • HyperX Cloud II Gaming-Headset 59€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 60 Jahre Saturn-Aktion [Werbung]
    •  /