Suchen

Softwarequalität Linux-Foundation vergibt erste Best-Practice-Zertifikate

| Redakteur: Franz Graser

Die Core Infrastructure Initiative (CII) der Linux Foundation hat erste Sicherheits-Gütesiegel für kritische Softwarekomponenten des Linux-Ökosystems vergeben. Die CII war als Antwort auf den Heartbleed-Bug ins Leben gerufen worden, einer Sicherheitslücke in OpenSSL, die lange Zeit unbeachtet geblieben war.

Firma zum Thema

Der Heartbleed-Bug, eine Sicherheitslücke im Verschlüsselungsprotokoll OpenSSL, bildete den Anlass zur Gründung der Core Infrastructure Initiative in der Linux Foundation.
Der Heartbleed-Bug, eine Sicherheitslücke im Verschlüsselungsprotokoll OpenSSL, bildete den Anlass zur Gründung der Core Infrastructure Initiative in der Linux Foundation.
(Bild: Leena Snidate/Public Domain)

Mit den Gütesiegeln soll die Qualität quelloffener Softwarekomponenten verbessert werden. Die CII hat hierfür das „Best Practices Badge Program“ gegründet. Auf diese Weise sollen freie und quelloffene Softwareprojekte nachweisen können, dass der Entwicklung bestimmte Best Practices eingehalten werden.

Zu diesen Praktiken gehören zunächst einmal formale Kriterien wie eine Projekt-Website, eine freie beziehungsweise quelloffene Softwarelizenz sowie eine grundlegende Dokumentation. Darüber hinaus muss ein Versionskontrollsystem mit klarer Versionsnummerierung und einem regelmäßig geführten Changelog vorhanden sein.

Weiters setzt das Programm einen Prozess für das Reporting von Softwarefehlern und Sicherheitslücken voraus, ein Build-System und eine Test-Suite. Last but not least ist es erforderlich, dass wenigstens einer der ständigen Entwickler mit den Design-Grundsätzen für sichere Software vertraut ist. Darunter fallen zum Beispiel die Prinzipien von Saltzer und Schroeder. Projekte, die Kryptographie verwenden, müssen außerdem sicherstellen, dass nur Verschlüsselungsprotokolle und -algorithmen verwendet werden, die offengelegt wurden und von Experten begutachtet wurden.

Für freie und quelloffene Softwareprojekte ist die Teilnahme an dem Zertifizierungsprogramm kostenlos. Um geprüft zu werden und das Gütesiegel zu erhalten, müssen sich die Projekte auf der CII-Seite registrieren.

Während der Prüfprozess läuft, erhalten die Projekte einen gelben Marker mit dem Inhalt „in progress“. Sind die Kriterien erfüllt, dann wird eine grüne Plakette mit dem Zertifikat „passing“´vergeben. Wurde die Prüfung nicht bestanden, wird das Zeugnis „failing“ vergeben.

Unter den Softwareprojekten, die den Test bereits bestanden haben, sind der Linux-Kernel, die Javascript-Laufzeitumgebung Node.js, OpenSSL sowie das freie Echtzeitbetriebssystem Zephyr. Der Fenstermanager „byobu“ hat dagegen die Testkriterien zumindest beim ersten Anlauf nicht erfüllt.

Dieses Best-Practice-Programm kann dazu beitragen, dass das nach „Heartbleed“ zeitweise etwas angeschlagene Vertrauen in freie und offene Software wieder hergestellt wird.

(ID:44039767)