Abo
  • Services:
Anzeige
Hauptgebäude der EU-Kommission in Brüssel
Hauptgebäude der EU-Kommission in Brüssel (Bild: Wikimedia/CC-BY-SA 3.0)

Pilotprojekt: EU will Open Source sicherer machen

Hauptgebäude der EU-Kommission in Brüssel
Hauptgebäude der EU-Kommission in Brüssel (Bild: Wikimedia/CC-BY-SA 3.0)

Eine Million Euro investiert die EU im Rahmen eines Pilotprojekts in Code-Audits für Keepass und Apache. Dadurch sollen etwaige Sicherheitslücken gefunden und gestopft werden. Aus der FOSS-Community gibt es aber Kritik an der Firma, die die Audits durchführen soll.

Der freie Passwort-Manager Keepass und der weit verbreitete Apache-Webserver sind die Gewinner einer Umfrage, die die EU-Kommission zwischen dem 17. Juni und 8. Juli auf ihrer Webseite durchgeführt hatte. Darin wurden rund 20 FOSS-Projekte vorgeschlagen, für die eine Sicherheitsprüfung finanziert werden könnte. In einem Freitextfeld konnten Teilnehmer weitere Projekte vorschlagen.

Anzeige

Keepass und Apache gewinnen mit Abstand

Die rund 3.282 Teilnehmer der Umfrage haben sich mehrheitlich für Keepass (23,1 Prozent) und Apache (18,7 Prozent) ausgesprochen. Etwas abgeschlagen folgte der VLC-Medienplayer (8,8 Prozent) sowie ausgewählte Komponenten des Linux-Kernels (8,6 Prozent). Die Vorauswahl der zur Abstimmung stehenden Projekte durch die EU-Kommission basierte nach eigenen Angaben vor allem darauf, wie stark die Software innerhalb und außerhalb der EU-Institutionen verwendet wird und wie kritisch die Software für die IT-Sicherheit der Betroffenen ist.

  • Das Geld geht an Beratungsfirmen: Budget des EU-Pilotprojekts über Code-Audits für FOSS-Software (Quelle: EU-Kommission)
  • Ergebnisse der EU-Umfrage zum Pilotprojekt über Code-Audits für FOSS-Software (Quelle: EU-Kommission)
Ergebnisse der EU-Umfrage zum Pilotprojekt über Code-Audits für FOSS-Software (Quelle: EU-Kommission)

Bis Oktober 2016 soll die mit der Durchführung der Audits beauftragte Firma Everis Kontakt zu den Entwicklerteams von Keepass und Apache aufnehmen. Wegen Zweifeln an der Kompetenz der in Madrid ansässigen Beratungsfirma gab es aber bereits vor der Abstimmung Kritik aus der FOSS-Community.

Deutliche Kritik aus der FOSS-Community

Anfang Juli beklagte Matthias Kirschner, Präsident der Free Software Foundation Europe, die Interviews, die Everis mit Community-Mitgliedern führte, seien "ziemlich seltsam" gewesen. "Die Fragen waren entweder auf sehr niedrigem Niveau oder sehr akademischer Natur." Weiterhin hatten sie ihm zufolge "zu Beginn kein besonderes Wissen über freie Software, und obwohl wir ihnen sehr viele Informationen geliefert haben, hat sich daran nichts geändert."

Auch Mirko Böhm vom Open Invention Network, der ebenfalls als Stakeholder von Everis interviewt wurde, kritisiert das Unternehmen offen. Die Firma habe keine Kenntnisse darüber, wie freie Software entwickelt werde und schlage daher völlig unbrauchbare Konzepte wie beispielsweise Scrum und PMBOK-basierte Methoden für die Entwicklung vor.

Everis wollte sich auf Nachfrage nicht zu den Vorwürfen äußern.

Bereits in der Vergangenheit ist die Firma mit umstrittenen Empfehlungen aufgefallen. In einer Studie warnte Everis die EU-Kommission vor "verschlüsseltem Spam" und riet davon ab, öffentliche S/MIME-Schlüssel zu veröffentlichen.

Brüssel reagiert - ein bisschen

Das Pilotprojekt geht ursprünglich auf Anträge der beiden Europaabgeordneten Julia Reda (Piraten, Deutschland) und Max Andersson (Grüne, Schweden) zurück. Beide hatten sich seit langem für eine finanzielle Unterstützung von Code-Audits durch die EU eingesetzt.

Reda, die selbst immer wieder in Kontakt mit der FOSS-Community steht, ist die Kritik gut bekannt. Zwar war sie als Abgeordnete an der Auswahl des Unternehmens durch die EU-Kommission nicht beteiligt, sie wolle aber "den Fortschritt des Code Review genau verfolgen und sicherstellen, dass die Communities um Keepass und den Apache Webserver von Anfang an einbezogen werden." Everis werde zeigen müssen, "ob sie der Aufgabe gewachsen sind, anderenfalls ist in der möglichen Fortführung sowohl eine Vergabe an einen anderen Auftragnehmer als auch der Umstieg auf ein Bounty-Programm eine Option."

Auch die EU-Kommission scheint auf die Kritik bereits zu reagieren. Das zuständige Kommissionsteam unterstrich in einem eigenen Blog-Eintrag, dass das Pilotprojekt "in einen systematischen Ansatz münden soll, mit Hilfe dessen die EU sicherstellen kann, dass weit verbreiteten Open-Source-Komponenten vertraut werden kann." Von im Projekt involvierten Quellen ist zudem zu hören, die EU-Behörde könnte Everis eventuell dazu verdonnern, sich für den Code-Review externe Unterstützung zu holen - zum Beispiel aus der FOSS-Community selbst.

Vielleicht wäre das auch schon früher möglich gewesen. Offen bleibt zum Beispiel, warum nicht zumindest ein Teil des für die Berater von Everis eingeplanten Budgets von immerhin fast einer halben Million Euro direkt an die FOSS-Projekte ausgeschüttet wird, damit deren Programmierer ihre Arbeit machen können.

Aber noch ist es dafür nicht zu spät.


eye home zur Startseite
Vielfalt 27. Jul 2016

Im Grunde schaffe ich mich selbst ab, in dem ich zulasse, dass die EU mit meinen...

McAfee... 26. Jul 2016

...und genau das passiert mit diesem Projekt :)

Pwnie2012 26. Jul 2016

Ich sehe eher den Mangel an Plugins bei KeePassX als ein Problem. Bei KeePass2 habe ich...

Wallbreaker 26. Jul 2016

Die Leute die keine Ahnung haben, legen die Prioritäten nun mal anders aus. Unheimlich...

Kleine Schildkröte 26. Jul 2016

Eine Millionen ist ja nun nichts für kritische Infrastruktur. Eine Ausschreibung gabs...



Anzeige

Stellenmarkt
  1. Seitenbau GmbH, Konstanz
  2. Paulinenpflege Winnenden, Stuttgart
  3. TenneT TSO GmbH, Bayreuth
  4. über Harvey Nash GmbH, Raum Ludwigsburg


Anzeige
Top-Angebote
  1. (u. a. Underworld Awakening 9,99€, Der Hobbit 3 9,99€ und Predestination 6,97€)
  2. (u. a. ASUS VivoBook 15,6" FHD i3/8 GB/256 GB SSD für 333,00€)
  3. (u. a. Iiyama ProLite 25" FHD mit IPS-Panel für 149€ statt 171€ im Vergleich)

Folgen Sie uns
       


  1. Apple

    Öffentliche Beta von iOS 11 erschienen

  2. SNES Classic Mini

    Nintendo bringt 20 Klassiker und ein neues Spiel

  3. Wahlprogramm

    SPD will 90 Prozent der Gebäude mit Gigabit-Netzen versorgen

  4. Erziehung

    Erst schriftliche Einwilligung, dann Whatsapp für Kinder

  5. Grafikkarte

    Sapphire bringt Radeon RX 470 für Mining

  6. Betrug

    FTTH-Betreiber wehren sich gegen Glasfaser-Werbelügen

  7. Gamescom

    Mehr Fläche, mehr Merkel und mehr Andrang

  8. Anki Cozmo ausprobiert

    Niedlicher Programmieren lernen und spielen

  9. Hyperkonvergenz

    Red Hat präsentiert freie hyperkonvergente Infrastruktur

  10. Deutsche Telekom

    Narrowband-IoT-Servicepakete ab 200 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Monster Hunter World angespielt: Dicke Dinosauriertränen in 4K
Monster Hunter World angespielt
Dicke Dinosauriertränen in 4K
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Prime Reading Amazon startet dritte Lese-Flatrate in Deutschland
  2. Elektronikkonzern Toshiba kann Geschäftsbericht nicht vorlegen
  3. Übernahmen Extreme Networks will eine Branchengröße werden

  1. Alternative: Fire TV Stick, RetroArch, 8Bitdo SNES30

    fk4711 | 03:37

  2. Re: Folge fehlender Freizeit

    redwolf | 03:28

  3. Re: Einseitig..

    plutoniumsulfat | 03:21

  4. Re: Media Markt / Saturn

    ManMashine | 03:21

  5. Nicht nur bei Kindern oder WhatsApp

    DerSkeptiker | 03:20


  1. 00:22

  2. 19:30

  3. 18:32

  4. 18:15

  5. 18:03

  6. 17:47

  7. 17:29

  8. 17:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel