OpenSSL erhält Finanzierung für Entwickler und Sicherheitsaudit

Kaum einen Monat, nachdem die Gründung einer Gruppe zur Finanzierungshilfe von Open-Source-Projekten bekannt gegeben wurde, hat die Core Infrastructure Initiative beschlossen, dem Projekt OpenSSL genügend Geld zur Verfügung zu stellen, um zwei Vollzeitentwickler einzustellen. Überdies wird die Gruppe ein Audit von OpenSSL durch das Open Crypto Audit Project finanzieren.

Die CII wird von einem „Who’s who“ der Hightech-Branche gestützt, unter anderem Google, Microsoft, IBM, der Linux Foundation, Facebook und Amazon, wobei sich in der vergangenen Woche noch einige neue Mitglieder der Gruppe angeschlossen haben, darunter Adobe, Bloomberg, HP, Huawei und Salesforce.com, die ebenfalls finanzielle Unterstützung leisten werden.

Die Bekanntmachung der CII fällt in eine Zeit, in der grundlegende Fragen über Kryptoprojekte durch den Raum schwirren. Am Mittwoch gaben die TrueCrypt Web page und die Sourceforge page erstmals eine Meldung heraus, die die Nutzer warnt, dass das Open-Source-Verschlüsselungspaket nicht sicher ist und ungepatchte Sicherheitslücken enthalten könnte. Dieselbe Warnmitteilung erscheint auch auf dem Installationsbildschirm von TrueCrypt 7.2, der neuen Version, die mit einem gültigen Chiffrierungsschlüssel dieses Projekts signiert war. Vor einem Monat hatte das OCAP einen ersten Bericht veröffentlicht, in dem es hieß, die erste Phase des Audits von TrueCrypt habe keine Backdoors oder andere besorgniserregende Schwachstellen zutage gefördert. Sicherheitsexperten wundern sich seit Jahren über die Intaktheit der Software, obgleich die Entwickler anonym sind und sie nie einer Überprüfung von außen unterzogen wurde.

Nun wird dem OCAP-Team, dem unter anderem der Johns Hopkins-Professor und Kryptograf Matthew Green und Kenn White angehören, das Geld zur Verfügung gestellt, um auch ein Audit von OpenSSL durchführen zu können. OpenSSL musste in diesem Jahr bereits einen schweren Schlag verkraften, als die Heartbleed-Sicherheitslücke aufgedeckt wurde, die das Internet in Panik versetzte, da diese Software auf mehr als 60 Prozent der SSL-geschützten Sites läuft.

“Ob wir es uns nun eingestehen oder nicht, die Sicherheit des heutigen Internets hängt von einer kleinen Zahl von Open-Source-Projekten ab. Diese Initiative stellt die Ressourcen zur Verfügung, um eine langfristige Funktionsfähigkeit dieser Projekte zu gewährleisten. Sie macht uns alle sicherer”, sagte Green.

Zusätzlich zur Finanzierung des Audits von OpenSSL stellt die CII auch dem Network Time Protocol und OpenSSH Geld zur Verfügung.

“Software-Entwicklung macht immer Unterstützung und Finanzierung erforderlich. Open-Source-Software bildet dabei keine Ausnahme und gewährleistet ein Supportlevel, das mit der wichtigen Rolle einhergeht, die es bei der Unterstützung der globalen Informationsinfrastruktur spielt“, sagte Jim Zemlin Geschäftsführer der Linux Foundation. “CII verwirklicht denselben gemeinschaftlichen Ansatz, der auch bei der Software-Entwicklung zum Einsatz kommt, um so den kritischsten Projekten zu helfen. Das Ziel der CII besteht darin, wegzukommen von reaktiven, durch Krisen motivierten Maßnahmen, hin zu einem wohlüberlegten, proaktiven Weg zur Identifizierung und Finanzierung von Projekten, bei denen ein entsprechender Bedarf besteht. Ich bin begeistert, dass wir nun über ein Forum verfügen, Bedarf und Finanzierung miteinander in Einklang zu bringen.”

Auch eine Reihe von neuen Beratern haben sich der CII angeschlossen, unter anderem Green, Bruce Schneier, Eben Moglen von der Columbia University und Ted T’so von Google.

“Wir tun hiermit einen wichtigen Schritt, um die Sicherheit des Internets zu verbessern. Ich bin sehr froh zu sehen, dass die IT-Unternehmen, die von der Sicherheit von Open-Source-Software abhängen, auch in die Sicherheit investieren”, sagte Schneier.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.