In einer Welt, in der Sicherheitsl\u00fccken so zahlreich sind wie Sandk\u00f6rner am Strand, hat das Linux-Kernel-Projekt einen gro\u00dfen Schritt nach vorne gemacht. Greg Kroah-Hartman, der Mann mit dem klingenden Namen und angesehene Kernel-Maintainer, hat verk\u00fcndet, dass das Linux-Kernel-Projekt nun offiziell als CNA (CVE Numbering Authority) f\u00fcr Schwachstellen im Linux-Kernel anerkannt wurde. Was das genau bedeutet? Nun, lassen Sie es mich Ihnen erkl\u00e4ren.<\/p>\n
CVE, das steht f\u00fcr Common Vulnerabilities and Exposures. Das sind sozusagen die Ausweise f\u00fcr Sicherheitsl\u00fccken. Jede Sicherheitsl\u00fccke bekommt eine eigene Nummer, sodass man sie leichter identifizieren und dar\u00fcber sprechen kann. Das Linux-Kernel-Projekt hat sich jetzt dazu entschieden, die Verantwortung f\u00fcr die Vergabe dieser Nummern selbst zu \u00fcbernehmen. Das ist ein gro\u00dfer Schritt, denn damit wird sichergestellt, dass diejenigen, die den Code am besten kennen, auch die Nummern vergeben. Denn wer kennt sich besser mit dem Linux-Kernel aus als diejenigen, die ihn betreuen?<\/p>\n
Durch diese neue Rolle ist es keiner anderen Gruppe gestattet, CVEs ohne die Beteiligung des Linux-Kernel-Projekts zu vergeben. Das ist wie eine exklusive VIP-Party, zu der nur diejenigen Zutritt haben, die wirklich etwas mit dem Linux-Kernel zu tun haben. Es ist eine M\u00f6glichkeit, sicherzustellen, dass die Vergabe der CVEs effizient und genau erfolgt.<\/p>\n
Greg Kroah-Hartman hat betont, dass andere Projekte \u00e4hnlich handeln sollten. Er hat das Curl-Projekt als Beispiel genannt, das aus \u00e4hnlichen Gr\u00fcnden auch die Verantwortung f\u00fcr die Vergabe der CVEs \u00fcbernimmt. Er hat auch das Python-Projekt und das OpenSSF-Projekt gelobt, die beide dabei helfen, diese Umstellung zu erleichtern. Das OpenSSF-Projekt unterst\u00fctzt Open-Source-Projekte dabei, Dokumentation und Unterst\u00fctzung bereitzustellen, um die \u00dcbernahme der CVE-Verantwortung zu erleichtern. Es ist also eine Art Umzugshelfer f\u00fcr Projekte, die den Sprung wagen wollen.<\/p>\n
Der Bewerbungsprozess, um den CNA-Status zu erhalten, ist normalerweise kompliziert und zeitaufw\u00e4ndig. Aber dank der Zusammenarbeit aller Beteiligten konnte das Linux-Kernel-Projekt diesen Prozess erfolgreich abschlie\u00dfen. Greg Kroah-Hartman mag keine gro\u00dfen Fans von CVEs sein und hat in der Vergangenheit oft ihre Schw\u00e4chen betont. Aber er sieht diesen Schritt als Chance, mehr Verantwortung zu \u00fcbernehmen und den Prozess im Laufe der Zeit zu verbessern. Er hofft auch, dass andere Projekte dem Beispiel folgen und damit eine sicherere Open-Source-Community schaffen.<\/p>\n
Laut Greg Kroah-Hartman k\u00f6nnte es in Zukunft f\u00fcr alle Open-Source-Projekte verpflichtend sein, \u00e4hnliche Organisationen wie CNAs zu benachrichtigen, wenn es um Sicherheitsl\u00fccken geht. Das ist wie ein Sicherheits-Checkpoint f\u00fcr Open-Source-Projekte, um sicherzustellen, dass sie die neuesten Regeln und Gesetze einhalten.<\/p>\n
Die Anerkennung des Linux-Kernel-Projekts als offizielle CNA ist ein bedeutender Schritt f\u00fcr die Open-Source-Community. Es zeigt, dass Sicherheit und Verantwortungsbewusstsein immer wichtiger werden, wenn es um die Entwicklung und Verwaltung von Open-Source-Software geht. Wir k\u00f6nnen nur hoffen, dass andere Projekte diesem Beispiel folgen und damit zu einer sichereren und vertrauensw\u00fcrdigeren Open-Source-Landschaft beitragen. Denn am Ende des Tages wollen wir alle sicher sein, dass unsere Software nicht wie ein K\u00e4se mit L\u00f6chern ist.<\/p>\n
Schlagw\u00f6rter: Greg Kroah-Hartman + CNA + CVE<\/p>\n","protected":false},"excerpt":{"rendered":"
In einer Welt, in der Sicherheitsl\u00fccken so zahlreich sind wie Sandk\u00f6rner am Strand, hat das Linux-Kernel-Projekt einen gro\u00dfen Schritt nach vorne gemacht. Greg Kroah-Hartman, der Mann mit dem klingenden Namen und angesehene Kernel-Maintainer, hat verk\u00fcndet, dass das Linux-Kernel-Projekt nun offiziell als CNA (CVE Numbering Authority) f\u00fcr Schwachstellen im Linux-Kernel anerkannt...<\/p>\n","protected":false},"author":4,"featured_media":4696,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-4697","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/4697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4697"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/4697\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/4696"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4697"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}