Mehr Sicherheit für Open Source

"Open Source macht es möglich, dass der Code von allen begutachtet werden kann. Tatsächlich aber findet das kaum statt", meint Crispin Cowan, Chef-Forscher bei der Softwarefirma WireX Communications gegenüber dem US-Newsdienst Cnet. Das soll sich nun ändern: Cowan ist neben der Defense Advanced Research Project Agency (DARPA) Mitbegründer des Sardonix-Projektes, einer Art Community für Entwickler, die Software kritisch nach Sicherheitslücken durchleuchtet. Das Prüfnetzwerk soll Linux und andere Open-Source-Software unter die Lupe nehmen.

Das Sardonix-Portal koordiniert die Aktivitäten und stellt Werkzeuge bereit, mit denen Software getestet werden kann. Die Softwarefirma WireX will außerdem unter anderem das Programm StackGuard zur Verfügung stellen, eine Erweiterung des Open-Source-Compilers gcc, die Buffer Overflows vermeiden helfen und dadurch weniger anfällig für Angriffe von außen machen soll. Daneben soll Buch geführt werden über bereits geprüfte und noch zu prüfende Programme.

Bereits vor drei Jahren gründeten Linux-Entwickler das Linux Security Audit Project (LSAP) mit dem Ziel, Fehler in dem Betriebssystem ausfindig zu machen und es sicherer zu machen. Aber nur wenige Zeilen Code wurden geprüft, während sich die LSAP-Mailing-Liste immer mehr zu einem theoretischen Diskussionsforum über Linux und Sicherheit entwickelte. Cowan hofft nun, dass die Open-Source-Gemeinde sich durch das Sardonix-Angebot mehr praktisch auf das Thema Sicherheit besinnt. Vorbild in dieser Sache könnte ausgerechnet Bill Gates sein, der seiner Firma Microsoft einen Strategiewechsel verordnet hat. Dabei soll Sicherheit künftig Vorrang vor neuen Funktionen in den Programmen haben. (anw)