Pilotprojekt: EU will Open Source sicherer machen

Eine Million Euro investiert die EU im Rahmen eines Pilotprojekts in Code-Audits für Keepass und Apache. Dadurch sollen etwaige Sicherheitslücken gefunden und gestopft werden. Aus der FOSS-Community gibt es aber Kritik an der Firma, die die Audits durchführen soll.

Artikel veröffentlicht am ,
Hauptgebäude der EU-Kommission in Brüssel
Hauptgebäude der EU-Kommission in Brüssel (Bild: Wikimedia/CC-BY-SA 3.0)

Der freie Passwort-Manager Keepass und der weit verbreitete Apache-Webserver sind die Gewinner einer Umfrage, die die EU-Kommission zwischen dem 17. Juni und 8. Juli auf ihrer Webseite durchgeführt hatte. Darin wurden rund 20 FOSS-Projekte vorgeschlagen, für die eine Sicherheitsprüfung finanziert werden könnte. In einem Freitextfeld konnten Teilnehmer weitere Projekte vorschlagen.

Keepass und Apache gewinnen mit Abstand

Stellenmarkt
  1. SAP Fiori/SAP UI5 Developer (m/w/d)
    B.i.TEAM Gesellschaft für Softwareberatung mbH, Karlsruhe
  2. Kubernetes Engineer (m/w/d)
    LexCom Informationssysteme GmbH, München
Detailsuche

Die rund 3.282 Teilnehmer der Umfrage haben sich mehrheitlich für Keepass (23,1 Prozent) und Apache (18,7 Prozent) ausgesprochen. Etwas abgeschlagen folgte der VLC-Medienplayer (8,8 Prozent) sowie ausgewählte Komponenten des Linux-Kernels (8,6 Prozent). Die Vorauswahl der zur Abstimmung stehenden Projekte durch die EU-Kommission basierte nach eigenen Angaben vor allem darauf, wie stark die Software innerhalb und außerhalb der EU-Institutionen verwendet wird und wie kritisch die Software für die IT-Sicherheit der Betroffenen ist.

  • Das Geld geht an Beratungsfirmen: Budget des EU-Pilotprojekts über Code-Audits für FOSS-Software (Quelle: EU-Kommission)
  • Ergebnisse der EU-Umfrage zum Pilotprojekt über Code-Audits für FOSS-Software (Quelle: EU-Kommission)
Ergebnisse der EU-Umfrage zum Pilotprojekt über Code-Audits für FOSS-Software (Quelle: EU-Kommission)

Bis Oktober 2016 soll die mit der Durchführung der Audits beauftragte Firma Everis Kontakt zu den Entwicklerteams von Keepass und Apache aufnehmen. Wegen Zweifeln an der Kompetenz der in Madrid ansässigen Beratungsfirma gab es aber bereits vor der Abstimmung Kritik aus der FOSS-Community.

Deutliche Kritik aus der FOSS-Community

Anfang Juli beklagte Matthias Kirschner, Präsident der Free Software Foundation Europe, die Interviews, die Everis mit Community-Mitgliedern führte, seien "ziemlich seltsam" gewesen. "Die Fragen waren entweder auf sehr niedrigem Niveau oder sehr akademischer Natur." Weiterhin hatten sie ihm zufolge "zu Beginn kein besonderes Wissen über freie Software, und obwohl wir ihnen sehr viele Informationen geliefert haben, hat sich daran nichts geändert."

Golem Akademie
  1. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    16.–17. Dezember 2021, virtuell
Weitere IT-Trainings

Auch Mirko Böhm vom Open Invention Network, der ebenfalls als Stakeholder von Everis interviewt wurde, kritisiert das Unternehmen offen. Die Firma habe keine Kenntnisse darüber, wie freie Software entwickelt werde und schlage daher völlig unbrauchbare Konzepte wie beispielsweise Scrum und PMBOK-basierte Methoden für die Entwicklung vor.

Everis wollte sich auf Nachfrage nicht zu den Vorwürfen äußern.

Bereits in der Vergangenheit ist die Firma mit umstrittenen Empfehlungen aufgefallen. In einer Studie warnte Everis die EU-Kommission vor "verschlüsseltem Spam" und riet davon ab, öffentliche S/MIME-Schlüssel zu veröffentlichen.

Brüssel reagiert - ein bisschen

Das Pilotprojekt geht ursprünglich auf Anträge der beiden Europaabgeordneten Julia Reda (Piraten, Deutschland) und Max Andersson (Grüne, Schweden) zurück. Beide hatten sich seit langem für eine finanzielle Unterstützung von Code-Audits durch die EU eingesetzt.

Reda, die selbst immer wieder in Kontakt mit der FOSS-Community steht, ist die Kritik gut bekannt. Zwar war sie als Abgeordnete an der Auswahl des Unternehmens durch die EU-Kommission nicht beteiligt, sie wolle aber "den Fortschritt des Code Review genau verfolgen und sicherstellen, dass die Communities um Keepass und den Apache Webserver von Anfang an einbezogen werden." Everis werde zeigen müssen, "ob sie der Aufgabe gewachsen sind, anderenfalls ist in der möglichen Fortführung sowohl eine Vergabe an einen anderen Auftragnehmer als auch der Umstieg auf ein Bounty-Programm eine Option."

Auch die EU-Kommission scheint auf die Kritik bereits zu reagieren. Das zuständige Kommissionsteam unterstrich in einem eigenen Blog-Eintrag, dass das Pilotprojekt "in einen systematischen Ansatz münden soll, mit Hilfe dessen die EU sicherstellen kann, dass weit verbreiteten Open-Source-Komponenten vertraut werden kann." Von im Projekt involvierten Quellen ist zudem zu hören, die EU-Behörde könnte Everis eventuell dazu verdonnern, sich für den Code-Review externe Unterstützung zu holen - zum Beispiel aus der FOSS-Community selbst.

Vielleicht wäre das auch schon früher möglich gewesen. Offen bleibt zum Beispiel, warum nicht zumindest ein Teil des für die Berater von Everis eingeplanten Budgets von immerhin fast einer halben Million Euro direkt an die FOSS-Projekte ausgeschüttet wird, damit deren Programmierer ihre Arbeit machen können.

Aber noch ist es dafür nicht zu spät.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Vielfalt 27. Jul 2016

Im Grunde schaffe ich mich selbst ab, in dem ich zulasse, dass die EU mit meinen...

McAfee... 26. Jul 2016

...und genau das passiert mit diesem Projekt :)

Pwnie2012 26. Jul 2016

Ich sehe eher den Mangel an Plugins bei KeePassX als ein Problem. Bei KeePass2 habe ich...

Wallbreaker 26. Jul 2016

Die Leute die keine Ahnung haben, legen die Prioritäten nun mal anders aus. Unheimlich...

Kleine Schildkröte 26. Jul 2016

Eine Millionen ist ja nun nichts für kritische Infrastruktur. Eine Ausschreibung gabs...



Aktuell auf der Startseite von Golem.de
Fälschung
Wieder Abmahnungen wegen Youporn-Streaming

Diesmal hat sich ein besonders dummer Betrüger an Abmahnungen zum Streaming bei Youporn versucht. In dem Brief stimmt fast keine Angabe.

Fälschung: Wieder Abmahnungen wegen Youporn-Streaming
Artikel
  1. Deutsche Telekom: Netflix, Facebook und Amazon sollen für Netzausbau zahlen
    Deutsche Telekom
    Netflix, Facebook und Amazon sollen für Netzausbau zahlen

    Deutsche Telekom, Vodafone und 11 weitere große europäische Netzbetreiber wollen jetzt Geld von den Content-Konzernen aus den USA sehen.

  2. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  3. 800 MHz: Bundesnetzagentur dürfte nächste Auktion absagen
    800 MHz
    Bundesnetzagentur dürfte nächste Auktion absagen

    1&1 wird sich das neue Vorgehen nicht gefallen lassen. 800 MHz bietet wichtige Flächenfrequenzen auf dem Lande.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • 3 für 2: Star Wars & Marvel • Bis 300€ Direktabzug auf TVs, Laptops uvm. • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /