Abo
  • Services:
Anzeige
Hauptgebäude der EU-Kommission in Brüssel
Hauptgebäude der EU-Kommission in Brüssel (Bild: Wikimedia/CC-BY-SA 3.0)

Pilotprojekt: EU will Open Source sicherer machen

Hauptgebäude der EU-Kommission in Brüssel
Hauptgebäude der EU-Kommission in Brüssel (Bild: Wikimedia/CC-BY-SA 3.0)

Eine Million Euro investiert die EU im Rahmen eines Pilotprojekts in Code-Audits für Keepass und Apache. Dadurch sollen etwaige Sicherheitslücken gefunden und gestopft werden. Aus der FOSS-Community gibt es aber Kritik an der Firma, die die Audits durchführen soll.

Der freie Passwort-Manager Keepass und der weit verbreitete Apache-Webserver sind die Gewinner einer Umfrage, die die EU-Kommission zwischen dem 17. Juni und 8. Juli auf ihrer Webseite durchgeführt hatte. Darin wurden rund 20 FOSS-Projekte vorgeschlagen, für die eine Sicherheitsprüfung finanziert werden könnte. In einem Freitextfeld konnten Teilnehmer weitere Projekte vorschlagen.

Anzeige

Keepass und Apache gewinnen mit Abstand

Die rund 3.282 Teilnehmer der Umfrage haben sich mehrheitlich für Keepass (23,1 Prozent) und Apache (18,7 Prozent) ausgesprochen. Etwas abgeschlagen folgte der VLC-Medienplayer (8,8 Prozent) sowie ausgewählte Komponenten des Linux-Kernels (8,6 Prozent). Die Vorauswahl der zur Abstimmung stehenden Projekte durch die EU-Kommission basierte nach eigenen Angaben vor allem darauf, wie stark die Software innerhalb und außerhalb der EU-Institutionen verwendet wird und wie kritisch die Software für die IT-Sicherheit der Betroffenen ist.

  • Das Geld geht an Beratungsfirmen: Budget des EU-Pilotprojekts über Code-Audits für FOSS-Software (Quelle: EU-Kommission)
  • Ergebnisse der EU-Umfrage zum Pilotprojekt über Code-Audits für FOSS-Software (Quelle: EU-Kommission)
Ergebnisse der EU-Umfrage zum Pilotprojekt über Code-Audits für FOSS-Software (Quelle: EU-Kommission)

Bis Oktober 2016 soll die mit der Durchführung der Audits beauftragte Firma Everis Kontakt zu den Entwicklerteams von Keepass und Apache aufnehmen. Wegen Zweifeln an der Kompetenz der in Madrid ansässigen Beratungsfirma gab es aber bereits vor der Abstimmung Kritik aus der FOSS-Community.

Deutliche Kritik aus der FOSS-Community

Anfang Juli beklagte Matthias Kirschner, Präsident der Free Software Foundation Europe, die Interviews, die Everis mit Community-Mitgliedern führte, seien "ziemlich seltsam" gewesen. "Die Fragen waren entweder auf sehr niedrigem Niveau oder sehr akademischer Natur." Weiterhin hatten sie ihm zufolge "zu Beginn kein besonderes Wissen über freie Software, und obwohl wir ihnen sehr viele Informationen geliefert haben, hat sich daran nichts geändert."

Auch Mirko Böhm vom Open Invention Network, der ebenfalls als Stakeholder von Everis interviewt wurde, kritisiert das Unternehmen offen. Die Firma habe keine Kenntnisse darüber, wie freie Software entwickelt werde und schlage daher völlig unbrauchbare Konzepte wie beispielsweise Scrum und PMBOK-basierte Methoden für die Entwicklung vor.

Everis wollte sich auf Nachfrage nicht zu den Vorwürfen äußern.

Bereits in der Vergangenheit ist die Firma mit umstrittenen Empfehlungen aufgefallen. In einer Studie warnte Everis die EU-Kommission vor "verschlüsseltem Spam" und riet davon ab, öffentliche S/MIME-Schlüssel zu veröffentlichen.

Brüssel reagiert - ein bisschen

Das Pilotprojekt geht ursprünglich auf Anträge der beiden Europaabgeordneten Julia Reda (Piraten, Deutschland) und Max Andersson (Grüne, Schweden) zurück. Beide hatten sich seit langem für eine finanzielle Unterstützung von Code-Audits durch die EU eingesetzt.

Reda, die selbst immer wieder in Kontakt mit der FOSS-Community steht, ist die Kritik gut bekannt. Zwar war sie als Abgeordnete an der Auswahl des Unternehmens durch die EU-Kommission nicht beteiligt, sie wolle aber "den Fortschritt des Code Review genau verfolgen und sicherstellen, dass die Communities um Keepass und den Apache Webserver von Anfang an einbezogen werden." Everis werde zeigen müssen, "ob sie der Aufgabe gewachsen sind, anderenfalls ist in der möglichen Fortführung sowohl eine Vergabe an einen anderen Auftragnehmer als auch der Umstieg auf ein Bounty-Programm eine Option."

Auch die EU-Kommission scheint auf die Kritik bereits zu reagieren. Das zuständige Kommissionsteam unterstrich in einem eigenen Blog-Eintrag, dass das Pilotprojekt "in einen systematischen Ansatz münden soll, mit Hilfe dessen die EU sicherstellen kann, dass weit verbreiteten Open-Source-Komponenten vertraut werden kann." Von im Projekt involvierten Quellen ist zudem zu hören, die EU-Behörde könnte Everis eventuell dazu verdonnern, sich für den Code-Review externe Unterstützung zu holen - zum Beispiel aus der FOSS-Community selbst.

Vielleicht wäre das auch schon früher möglich gewesen. Offen bleibt zum Beispiel, warum nicht zumindest ein Teil des für die Berater von Everis eingeplanten Budgets von immerhin fast einer halben Million Euro direkt an die FOSS-Projekte ausgeschüttet wird, damit deren Programmierer ihre Arbeit machen können.

Aber noch ist es dafür nicht zu spät.


eye home zur Startseite
Vielfalt 27. Jul 2016

Im Grunde schaffe ich mich selbst ab, in dem ich zulasse, dass die EU mit meinen...

McAfee... 26. Jul 2016

...und genau das passiert mit diesem Projekt :)

Pwnie2012 26. Jul 2016

Ich sehe eher den Mangel an Plugins bei KeePassX als ein Problem. Bei KeePass2 habe ich...

Wallbreaker 26. Jul 2016

Die Leute die keine Ahnung haben, legen die Prioritäten nun mal anders aus. Unheimlich...

Kleine Schildkröte 26. Jul 2016

Eine Millionen ist ja nun nichts für kritische Infrastruktur. Eine Ausschreibung gabs...



Anzeige

Stellenmarkt
  1. Bertrandt Services GmbH, Friedrichshafen
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. über OPTARES GmbH & Co. KG, Großraum München
  4. Max Bögl Bauservice GmbH & Co. KG, Sengenthal bei Neumarkt i.d.Opf.


Anzeige
Hardware-Angebote
  1. für 49,99€ statt 69,99€
  2. 89,90€ + 3,99€ Versand (Vergleichspreis ca. 140€)

Folgen Sie uns
       


  1. WW2

    Kostenpflichtige Profispieler für Call of Duty verfügbar

  2. Firefox Nightly Build 58

    Firefox warnt künftig vor Webseiten mit Datenlecks

  3. Limux-Ende

    München beschließt 90 Millionen für IT-Umbau

  4. Chiphersteller

    Broadcom erhöht Druck bei feindlicher Übernahme von Qualcomm

  5. Open Access

    Konkurrenten wollen FTTH-Ausbau mit der Telekom

  6. Waipu TV

    Produkte aus Werbeblock direkt bei Amazon bestellen

  7. Darpa

    US-Militär will Pflanzen als Schadstoffsensoren einsetzen

  8. Snpr External Graphics Enclosure

    KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

  9. IOS 11 und iPhone X

    Das Super-Retina-Display braucht nur wenige Anpassungen

  10. Polyphony Digital

    GT Sport bekommt Einzelspielerliga



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Montagewerk in Tilburg: Wo Tesla seine E-Autos für Europa produziert
Montagewerk in Tilburg
Wo Tesla seine E-Autos für Europa produziert
  1. Elektroauto Walmart will den Tesla-Truck
  2. Elektrosportwagen Tesla Roadster 2 beschleunigt in 2 Sekunden auf Tempo 100
  3. Elektromobilität Tesla Truck soll in 30 Minuten 630 km Reichweite laden

Fitbit Ionic im Test: Die (noch) nicht ganz so smarte Sportuhr
Fitbit Ionic im Test
Die (noch) nicht ganz so smarte Sportuhr
  1. Verbraucherschutz Sportuhr-Hersteller gehen unsportlich mit Daten um
  2. Wii Remote Nintendo muss 10 Millionen US-Dollar in Patentstreit zahlen
  3. Ionic Fitbit stellt Smartwatch mit Vier-Tage-Akku vor

E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Garmin Vivoactive 3 im Test Bananaware fürs Handgelenk
  2. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler
  3. Inspiron 5675 im Test Dells Ryzen-Gaming-PC reicht mindestens bis 2020

  1. Re: Lohnt sich ziemlich

    SP1D3RM4N | 18:08

  2. die vergabe des auftrages wird interessant...

    t_e_e_k | 18:06

  3. Re: Staatsgelder verpulfert

    HibikiTaisuna | 18:04

  4. DANKE!

    Wurly | 18:03

  5. Re: Jedes geschlossene System

    FreiGeistler | 17:55


  1. 17:44

  2. 17:23

  3. 17:05

  4. 17:04

  5. 14:39

  6. 14:24

  7. 12:56

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel