Softwarequalität Linux-Foundation vergibt erste Best-Practice-Zertifikate

Redakteur: Franz Graser

Die Core Infrastructure Initiative (CII) der Linux Foundation hat erste Sicherheits-Gütesiegel für kritische Softwarekomponenten des Linux-Ökosystems vergeben. Die CII war als Antwort auf den Heartbleed-Bug ins Leben gerufen worden, einer Sicherheitslücke in OpenSSL, die lange Zeit unbeachtet geblieben war.

Firmen zum Thema

Der Heartbleed-Bug, eine Sicherheitslücke im Verschlüsselungsprotokoll OpenSSL, bildete den Anlass zur Gründung der Core Infrastructure Initiative in der Linux Foundation.
Der Heartbleed-Bug, eine Sicherheitslücke im Verschlüsselungsprotokoll OpenSSL, bildete den Anlass zur Gründung der Core Infrastructure Initiative in der Linux Foundation.
(Bild: Leena Snidate/Public Domain)

Mit den Gütesiegeln soll die Qualität quelloffener Softwarekomponenten verbessert werden. Die CII hat hierfür das „Best Practices Badge Program“ gegründet. Auf diese Weise sollen freie und quelloffene Softwareprojekte nachweisen können, dass der Entwicklung bestimmte Best Practices eingehalten werden.

Zu diesen Praktiken gehören zunächst einmal formale Kriterien wie eine Projekt-Website, eine freie beziehungsweise quelloffene Softwarelizenz sowie eine grundlegende Dokumentation. Darüber hinaus muss ein Versionskontrollsystem mit klarer Versionsnummerierung und einem regelmäßig geführten Changelog vorhanden sein.

Weiters setzt das Programm einen Prozess für das Reporting von Softwarefehlern und Sicherheitslücken voraus, ein Build-System und eine Test-Suite. Last but not least ist es erforderlich, dass wenigstens einer der ständigen Entwickler mit den Design-Grundsätzen für sichere Software vertraut ist. Darunter fallen zum Beispiel die Prinzipien von Saltzer und Schroeder. Projekte, die Kryptographie verwenden, müssen außerdem sicherstellen, dass nur Verschlüsselungsprotokolle und -algorithmen verwendet werden, die offengelegt wurden und von Experten begutachtet wurden.

Für freie und quelloffene Softwareprojekte ist die Teilnahme an dem Zertifizierungsprogramm kostenlos. Um geprüft zu werden und das Gütesiegel zu erhalten, müssen sich die Projekte auf der CII-Seite registrieren.

Während der Prüfprozess läuft, erhalten die Projekte einen gelben Marker mit dem Inhalt „in progress“. Sind die Kriterien erfüllt, dann wird eine grüne Plakette mit dem Zertifikat „passing“´vergeben. Wurde die Prüfung nicht bestanden, wird das Zeugnis „failing“ vergeben.

Unter den Softwareprojekten, die den Test bereits bestanden haben, sind der Linux-Kernel, die Javascript-Laufzeitumgebung Node.js, OpenSSL sowie das freie Echtzeitbetriebssystem Zephyr. Der Fenstermanager „byobu“ hat dagegen die Testkriterien zumindest beim ersten Anlauf nicht erfüllt.

Dieses Best-Practice-Programm kann dazu beitragen, dass das nach „Heartbleed“ zeitweise etwas angeschlagene Vertrauen in freie und offene Software wieder hergestellt wird.

Professor Dr. Ing Hans-Joachim Hof leitet die Munich IT Security Research Group. Der IT-Experte mahnt vor allem bessere Softwarequalität an sowie ein Umdenken bei der Entwicklung eingebetteter Software.

Softwaretechnik

Das Internet der Dinge braucht deutlich bessere Software

Linus Torvalds, der Initiator des freien Betriebssystems Linux, fordert ein Umdenken im Embedded-Umfeld. Hersteller von Geräten, die an das IoT angeschlossen sind, müssen sicherstellen, dass diese Devices mit Sicherheits-Updates versorgt werden.

Softwaretechnik

Torvalds mahnt mehr Sicherheit im IoT an

Viren und andere digitale Schädlinge breiten sich zunehmend auf mobilen Endgeräten aus. Betroffen sind neben Android-Geräten auch Windows-PCs, die über Surfsticks oder Smartphones mit dem Internet verbunden sind.

Schadsoftware

Mobilgeräte sind immer häufiger von Malware betroffen

(ID:44039767)