Die Europäische Kommission hat gefragt: Welche Softwareprojekte sollen im Rahmen von FOSSA geprüft werden, dem Pilotprojekt zur Verbesserung der Sicherheit von Open Source Software, das auf Vorschlag meines Kollegen Max und mir ins Leben gerufen wurde?

Nun liegen die Ergebnisse vor: Als große Favoriten stellten sich KeePass (23%) und der Apache HTTP-Server (19%) heraus. Die EU hat sich entschieden, den Empfehlungen zu folgen und diese beiden Softwareprojekte einer Sicherheitsprüfung zu unterziehen.

Ergebnis der Befragung

Indem die EU-Kommission dem Resultat der öffentlichen Befragung folgt, unterstützt sie die Sicherheit zweier ganz unterschiedlicher Projekte: Einer populären Sicherheitsanwendung für Endnutzer*innen einerseits, und Infrastruktur-Software andererseits.

fossa-keepass KeePass ist ein leicht zu benutzender Passwortmanager. Damit kannst du gesonderte, sichere Passwörter für all deine Benutzer*innenkonten generieren und verwalten, statt überall das gleiche merkbare Passwort zu verwenden. Das stellt nämlich ein großes Sicherheitsrisiko dar, wenn auch nur einer der Dienste, die du verwendest, gehackt wird. Varianten von KeePass gibt es für viele verschiedene Betriebssysteme – auch für dein Smartphone.

fossa-apacheDer Apache HTTP-Server wird von ungefähr der Hälfte aller Websites im Hintergrund genutzt[1] und ist auch innerhalb der EU-Institutionen weitverbreitet.

Knapp 3300 Stimmen wurden in der Befragung abgegeben. Neben den Siegerprojekten erfreuten sich auch der VLC Mediaplayer und Komponenten des Betriebssystems Linux großer Beliebtheit. Über das Freitextfeld wurde weitere sicherheitskritische Software vorgeschlagen, in nennenswertem Umfang etwa wichtige Bibliotheken für die Programmiersprachen C/C++, Implementationen des SSL-Verschlüsselungsprotokolls und die Datei- und Festplatten-Verschlüsselungsapp VeraCrypt.

Vielen Dank für euer Feedback! Ihr habt uns nicht nur bei der Auswahl von Software für diesen und zukünftige Überprüfungen geholfen, sondern auch bewiesen, dass die Open-Source-Community und die User*innen ein Interesse daran haben, gemeinsam mit der EU an der Verbesserung von Softwaresicherheit zu arbeiten.
Ich möchte auch denjenigen Mitgliedern der Open Source Community danken, die berechtigte Bedenken darüber geäußert haben, wie die Kommission und ihre Auftragnehmer das Projekt bisher angegangen sind. Die Verantwortlichen innerhalb der EU-Kommission sind sich der Kritik bewusst.

Was kommt als nächstes?

Bis Oktober wird die beauftragte Consulting-Firma Everis Kontakt zu den Teams hinter KeePass und Apache aufnehmen. Es werden sowohl automatisierte Tests als auch manuelle Code Audits vorgenommen. Etwaige dabei entdeckte Sicherheitslücken werden den Verantwortlichen in den Projekten dann direkt kommuniziert.

Der Antrag von Max und mir, das Projekt um weitere zwei bis drei Jahre zu verlängern, wurde von der Kommission bereits vorab als hervorragend eingestuft. Sollte er angenommen werden, können wir hoffentlich auf den bisherigen Erfahrungen aufbauen und den Prozess weiter verbessern, um die Community noch intensiver einzubeziehen.

Es sollte ein fixer EU-Budgetposten werden, zur Sicherheit von Open-Source-Software beizutragen, die innerhalb und außerhalb der EU-Institutionen breite Verwendung findet.Tweet this!

Soweit dies durch das Gesetz möglich ist, hat der Schöpfer auf das Copyright und ähnliche oder Leistungsschutzrechte zu seinem Werk verzichtet.

My name is Julia, I'm the Pirate in the European Parliament.

I'm fighting to make copyright in the EU unified, progressive and fit for the future. Will you join me?

3 Kommentare

  1. 1
    Anja Marquardt

    Schöne Initiative, danke Dir.

  2. 2

    Hello,

    Why choosing KeePass and not KeePassX ? KeePass is using the .NET Framework. If you find security holes in .NET, it will be impossible to remove them. KeePass is not really multi-platform. KeePassX is really multi-Plateform and proprietary software independant.