Mozilla Minion: Plattform für Sicherheitstests
Die Plattform zum Automatisieren von Sicherheitstests hat laut ihrer Entwickler mit Version 0.3 nun einen Stand erreicht, in dem sie sich erstmals im großen Stil einsetzen ließe.
- Julia Schmidt
Nach ersten Berichten über die Arbeiten der Mozilla Foundation an Minion, einem Framework für Sicherheitstest, zu Anfang dieses Jahres, steht es nun in Version 0.3 bereit und wurde mit verschiedenen Blogeinträgen offiziell vorgestellt. Die von Mozillas Security Automation Team entwickelte Plattform soll dabei helfen, Websites und -dienste automatisch zu untersuchen und zu testen. Für die Tests an sich wird dann auf Werkzeuge wie OWASPs Zed Attack Proxy und nmap zurückgegriffen. Mit der momentanen Version sehen die Entwickler einen Stand erreicht, der Minion zum Mozilla-internen Einsatz in den Bereichen Entwicklung, Qualitätssicherung und Sicherheit qualifiziert.
Grundlegend setzt sich die Architektur der Plattform aus den drei Hauptkomponenten Plug-ins, Task Engine und Front End zusammen. Die Plug-ins sind dabei Automatisierungsskripte, die Komponenten wie Plattform und Betriebssystem abstrahieren und einen Mechanismus zur Konfiguration, Einleitung des Untersuchungsvorgangs und Sammeln von Resultaten bereitstellen. Die Task Engine hingegen umfasst Funktionen zum Verwalten von Nutzern, Gruppen, Sites sowie Untersuchungen und deren Ergebnissen. Außerdem gibt es hier ein Register, in dem alle verfügbaren Plug-ins verzeichnet sind, und Möglichkeiten zum Erstellen und Modifizieren von Plänen.
(Bild: Mozilla Foundation )
Mozilla hat für Minion einige Eckpunkte festgesetzt, die die Entwicklung des Projekts leiten sollen. Unter anderem soll es einfach zu nutzen, skalier- und erweiterbar bleiben, eine wirkliche Open-Source-Kultur mit Feedback und Feature Requests fördern und Entwickler als die Zielgruppe im Auge behalten. Minion an sich ist als Plattform und nicht als Sicherheits-Tool gedacht, das heißt es soll es durch eine hohe Abstraktion ermöglichen, Sicherheitsmaßnahmen zu automatisieren und sich nicht an eine bestimmte Tool Suite binden. Um die Sicherheit der Plattform zu gewährleisten, sollen alle Veröffentlichungen unter anderem mit detaillierten Auflistungen von Risiken und gesammelten Daten freigegeben werden.
Für die Zukunft sind unter anderem Verbesserungen im Bereich Authentifizierung und Zugriffskontrolle geplant. Aber auch an grafischen Aufbereitungen für Testergebnisse und Modulen zur Analyse von Quellcode-Repositories oder statischen Analyse sind in Arbeit. Das Projekt steht unter der MPL-Lizenz, der Code lässt sich auf GitHub einsehen. (jul)
