Abo
  • Services:
Anzeige
Hauptgebäude der EU-Kommission in Brüssel
Hauptgebäude der EU-Kommission in Brüssel (Bild: Wikimedia/CC-BY-SA 3.0)

Pilotprojekt: EU will Open Source sicherer machen

Hauptgebäude der EU-Kommission in Brüssel
Hauptgebäude der EU-Kommission in Brüssel (Bild: Wikimedia/CC-BY-SA 3.0)

Eine Million Euro investiert die EU im Rahmen eines Pilotprojekts in Code-Audits für Keepass und Apache. Dadurch sollen etwaige Sicherheitslücken gefunden und gestopft werden. Aus der FOSS-Community gibt es aber Kritik an der Firma, die die Audits durchführen soll.

Der freie Passwort-Manager Keepass und der weit verbreitete Apache-Webserver sind die Gewinner einer Umfrage, die die EU-Kommission zwischen dem 17. Juni und 8. Juli auf ihrer Webseite durchgeführt hatte. Darin wurden rund 20 FOSS-Projekte vorgeschlagen, für die eine Sicherheitsprüfung finanziert werden könnte. In einem Freitextfeld konnten Teilnehmer weitere Projekte vorschlagen.

Anzeige

Keepass und Apache gewinnen mit Abstand

Die rund 3.282 Teilnehmer der Umfrage haben sich mehrheitlich für Keepass (23,1 Prozent) und Apache (18,7 Prozent) ausgesprochen. Etwas abgeschlagen folgte der VLC-Medienplayer (8,8 Prozent) sowie ausgewählte Komponenten des Linux-Kernels (8,6 Prozent). Die Vorauswahl der zur Abstimmung stehenden Projekte durch die EU-Kommission basierte nach eigenen Angaben vor allem darauf, wie stark die Software innerhalb und außerhalb der EU-Institutionen verwendet wird und wie kritisch die Software für die IT-Sicherheit der Betroffenen ist.

  • Das Geld geht an Beratungsfirmen: Budget des EU-Pilotprojekts über Code-Audits für FOSS-Software (Quelle: EU-Kommission)
  • Ergebnisse der EU-Umfrage zum Pilotprojekt über Code-Audits für FOSS-Software (Quelle: EU-Kommission)
Ergebnisse der EU-Umfrage zum Pilotprojekt über Code-Audits für FOSS-Software (Quelle: EU-Kommission)

Bis Oktober 2016 soll die mit der Durchführung der Audits beauftragte Firma Everis Kontakt zu den Entwicklerteams von Keepass und Apache aufnehmen. Wegen Zweifeln an der Kompetenz der in Madrid ansässigen Beratungsfirma gab es aber bereits vor der Abstimmung Kritik aus der FOSS-Community.

Deutliche Kritik aus der FOSS-Community

Anfang Juli beklagte Matthias Kirschner, Präsident der Free Software Foundation Europe, die Interviews, die Everis mit Community-Mitgliedern führte, seien "ziemlich seltsam" gewesen. "Die Fragen waren entweder auf sehr niedrigem Niveau oder sehr akademischer Natur." Weiterhin hatten sie ihm zufolge "zu Beginn kein besonderes Wissen über freie Software, und obwohl wir ihnen sehr viele Informationen geliefert haben, hat sich daran nichts geändert."

Auch Mirko Böhm vom Open Invention Network, der ebenfalls als Stakeholder von Everis interviewt wurde, kritisiert das Unternehmen offen. Die Firma habe keine Kenntnisse darüber, wie freie Software entwickelt werde und schlage daher völlig unbrauchbare Konzepte wie beispielsweise Scrum und PMBOK-basierte Methoden für die Entwicklung vor.

Everis wollte sich auf Nachfrage nicht zu den Vorwürfen äußern.

Bereits in der Vergangenheit ist die Firma mit umstrittenen Empfehlungen aufgefallen. In einer Studie warnte Everis die EU-Kommission vor "verschlüsseltem Spam" und riet davon ab, öffentliche S/MIME-Schlüssel zu veröffentlichen.

Brüssel reagiert - ein bisschen

Das Pilotprojekt geht ursprünglich auf Anträge der beiden Europaabgeordneten Julia Reda (Piraten, Deutschland) und Max Andersson (Grüne, Schweden) zurück. Beide hatten sich seit langem für eine finanzielle Unterstützung von Code-Audits durch die EU eingesetzt.

Reda, die selbst immer wieder in Kontakt mit der FOSS-Community steht, ist die Kritik gut bekannt. Zwar war sie als Abgeordnete an der Auswahl des Unternehmens durch die EU-Kommission nicht beteiligt, sie wolle aber "den Fortschritt des Code Review genau verfolgen und sicherstellen, dass die Communities um Keepass und den Apache Webserver von Anfang an einbezogen werden." Everis werde zeigen müssen, "ob sie der Aufgabe gewachsen sind, anderenfalls ist in der möglichen Fortführung sowohl eine Vergabe an einen anderen Auftragnehmer als auch der Umstieg auf ein Bounty-Programm eine Option."

Auch die EU-Kommission scheint auf die Kritik bereits zu reagieren. Das zuständige Kommissionsteam unterstrich in einem eigenen Blog-Eintrag, dass das Pilotprojekt "in einen systematischen Ansatz münden soll, mit Hilfe dessen die EU sicherstellen kann, dass weit verbreiteten Open-Source-Komponenten vertraut werden kann." Von im Projekt involvierten Quellen ist zudem zu hören, die EU-Behörde könnte Everis eventuell dazu verdonnern, sich für den Code-Review externe Unterstützung zu holen - zum Beispiel aus der FOSS-Community selbst.

Vielleicht wäre das auch schon früher möglich gewesen. Offen bleibt zum Beispiel, warum nicht zumindest ein Teil des für die Berater von Everis eingeplanten Budgets von immerhin fast einer halben Million Euro direkt an die FOSS-Projekte ausgeschüttet wird, damit deren Programmierer ihre Arbeit machen können.

Aber noch ist es dafür nicht zu spät.


eye home zur Startseite
Vielfalt 27. Jul 2016

Im Grunde schaffe ich mich selbst ab, in dem ich zulasse, dass die EU mit meinen...

McAfee... 26. Jul 2016

...und genau das passiert mit diesem Projekt :)

Pwnie2012 26. Jul 2016

Ich sehe eher den Mangel an Plugins bei KeePassX als ein Problem. Bei KeePass2 habe ich...

Wallbreaker 26. Jul 2016

Die Leute die keine Ahnung haben, legen die Prioritäten nun mal anders aus. Unheimlich...

Kleine Schildkröte 26. Jul 2016

Eine Millionen ist ja nun nichts für kritische Infrastruktur. Eine Ausschreibung gabs...



Anzeige

Stellenmarkt
  1. Landesbetrieb IT.Niedersachsen, Hannover
  2. Deloitte GmbH Wirtschaftsprüfungsgesellschaft, verschiedene Standorte
  3. redcoon Logistics GmbH, Erfurt
  4. symmedia GmbH, Bielefeld


Anzeige
Top-Angebote
  1. (u. a. Angebote aus den Bereichen Games, Konsolen, TV, Film, Computer)
  2. 59,90€ statt 69,90€
  3. 299,00€ statt 399,00€

Folgen Sie uns
       


  1. Interview auf Youtube

    Merkel verteidigt Ziel von 1 Million Elektroautos bis 2020

  2. Ransomware

    Not-Petya-Angriff kostet Maersk 200 Millionen US-Dollar

  3. Spielebranche

    Mikrotransaktionen boomen zulasten der Kaufspiele

  4. Autonomes Fahren

    Fiat Chrysler kooperiert mit BMW und Intel

  5. Auto

    Toyota will Fahrzeugsäulen unsichtbar machen

  6. Amazon Channels

    Prime-Kunden erhalten Fußball-Bundesliga für 5 Euro im Monat

  7. Dex-Bytecode

    Google zeigt Vorschau auf neuen Android-Compiler

  8. Prozessor

    Intels Ice Lake wird in 10+ nm gefertigt

  9. Callya Flex

    Vodafone eifert dem Congstar-Prepaid-Tarif nach

  10. Datenbank

    MongoDB bereitet offenbar Börsengang vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
LG 34UC89G im Test: Wenn G-Sync und 166 Hertz nicht genug sind
LG 34UC89G im Test
Wenn G-Sync und 166 Hertz nicht genug sind
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. Gaming-Monitor Viewsonic XG 2530 im Test 240 Hertz, an die man sich gewöhnen kann
  3. SW271 Benq bringt HDR-Display mit 10-Bit-Panel

Windows 10 S im Test: Das S steht für schlechtes Marketing
Windows 10 S im Test
Das S steht für schlechtes Marketing
  1. Microsoft Neugierige Nutzer können Windows 10 S ausprobieren
  2. Surface Diagnostic Toolkit Surface-Tool kommt in den Windows Store
  3. Malware Der unvollständige Ransomware-Schutz von Windows 10 S

C64-Umbau mit dem Raspberry Pi: Die Wiedergeburt der Heimcomputer-Legende
C64-Umbau mit dem Raspberry Pi
Die Wiedergeburt der Heimcomputer-Legende

  1. Re: Und 18:00 bricht dann das Stromnetz zusammen..

    madMatt | 01:30

  2. Re: 1,50 ¤ / Spiel - bei Sky 0,90 ¤ / Spiel

    MostBlunted | 01:26

  3. Re: Hört sich für mich wie eine riesen...

    Technik Schaf | 01:09

  4. Re: Bei Amazon = 60 Euro im Jahr, sonst 30 Euro?!

    motzerator | 01:05

  5. Re: Wieso immer leichter und dünner?

    dxp | 01:02


  1. 16:57

  2. 16:25

  3. 16:15

  4. 15:32

  5. 15:30

  6. 15:02

  7. 14:49

  8. 13:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel