OpenJDK diskutiert Arbeitsgruppe zum Beheben von Sicherheitslücken

Nachdem der Verwaltungsrat des OpenJDK wohl schon länger über eine Vulnerability Group beratschlagt hat, eröffnete Oracles Java-Platform-Group-Leiter Mark Reinhold nun die öffentliche Diskussion des Themas auf der Mailingliste des Projekts. Angedacht ist eine neue Gruppe, zu der nur anerkannte technische Experten und Entwickler mit OCTLA- oder JCK-Lizenz, beziehungsweise Angestellte von Vendor-Organisationen mit diesen Lizenzen, Zutritt haben. Mitglieder müssen per Three-Vote Consensus (keine Vetos, einstimmige Annahme bei weniger als drei Abstimmungsbefugten und mindestens drei Ja-Stimmen bei mehr) bestätigt werden und eine Verschwiegenheitserklärung unterzeichnen. Als initialer Gruppenleiter soll Oracles Java Vulnerability Team Lead Andrew Gross dienen.

Aktuell gibt es Reinholds Proposal zufolge keinen organisierten Austausch über Schwachstellen in der Community. In den meisten Fällen kümmern sich Organisationen, deren Produkte auf der freien Implementierung der Standard Edition der Java Platform basieren, selbst um sicherheitskritische Mängel und ziehen in seltenen Fällen Oracle im privaten Austausch hinzu. Da die Community allerdings voll mit Sicherheitsexperten ist, deren Beiträge beim Beheben der Probleme nützlich sein können, könnte ein privates Forum die Zusammenarbeit in solchen Fällen fördern und das Investment der Gemeinschaft in die Sicherheit ihres Produkts stärken.

Die Kommunikation soll über drei Mailinglisten erfolgen: Eine ist für das Melden von Schwachstellen gedacht, eine soll einzig den Gruppenmitgliedern zur Analyse der Einreichungen und Kollaboration an Lösungen vorbehalten sein und eine öffentliche steht zur Information der Community über Fixes zur Verfügung. Der angedachte Arbeitsablauf der Vulnerability-Gruppe beginnt mit der Überprüfung und Bestätigung der Schwachstelle, im zweiten Schritt ist gemeinsam eine Gegenmaßnahme zu entwickeln. Ist das erledigt, einigt sich die Gruppe auf ein Veröffentlichungsdatum, an dem die Schwachstelle letztlich offengelegt und der Fix präsentiert wird.

Mitglieder sind zur Verschwiegenheit verpflichtet und sollte Kommunikation mit externen Sicherheitsorganisationen nötig sein, übernimmt dies der Gruppenleiter. Außerdem ist es den Mitgliedern nicht gestattet, für die Gruppe zu sprechen – Zuwiderhandlung kann mit einem Ausschluss quittiert werden. Da die Aufnahmebedingungen sowie die Anforderung an die Kommunikation innerhalb der Gruppe den Statuten des OpenJDK zum Teil widersprechen, muss der Verwaltungsrat sie zunächst absegnen. Reinhold sieht darin allerdings kein Hindernis, rechnet er doch mit der Zustimmung des Board.

Ein Proposal zur Gründung der Vulnerability Group ist bereits formuliert. Die Reaktionen auf den Mailinglisteneintrag sind derzeit noch eher spärlich, allerdings deuten sie auf Zustimmung hin. Ähnliche Ansätze praktizieren beispielsweise die Eclipse Foundation und die Security Group des WebKit-Projekts. (jul)