> Das Dienstleisterverzeichnis für Marketing <        
print logo

Transparenz in Echtzeit: offizielle Meldungen zu Schwachstellen und Sicherheitslücken

Neue Initiative des National Institute of Standards and Technology (NIST)
marketing-BÖRSE | 08.09.2006

Red Hat engagiert sich weiter f&uuml;r die Sicherheit in Informationstechnologie und Telekommunikation. Der weltweit f&uuml;hrende Anbieter von Open Source-L&ouml;sungen unterst&uuml;tzt eine neue Initiative, die vom National Institute of Standards and Technology (NIST) umgesetzt wird. Sie bietet Software-Unternehmen ein Forum f&uuml;r die &ouml;ffentliche Bekanntmachung und Diskussion von Sicherheitsl&uuml;cken. Aufgrund der Empfehlung von Red Hat wird dieser Service in die National Vulnerability Database (NVD) der NIST integriert.

Red Hat wandte sich mit der Idee an NIST, die NVD zu verwenden, um einen Dienst f&uuml;r die Ver&ouml;ffentlichung offizieller Meldungen von Software-Anbietern zu schaffen. Die Ver&ouml;ffentlichungen sollen Bezeichnungen gem&auml;&szlig; des Industriestandards Common Vulnerabilities and Exposures (CVE) verwenden, der die Einf&uuml;hrung einer einheitlichen Namenskonvention bezweckt. Die Software-Branche erh&auml;lt damit ein offenes, transparentes Forum, in dem Informationen &uuml;ber Sicherheitsl&uuml;cken bekannt gegeben werden k&ouml;nnen. Sowohl Anbieter von Open Source als auch von propriet&auml;rer Software haben jetzt die Gelegenheit, &uuml;ber Sicherheitsl&uuml;cken in ihren Produkten zu informieren und dazu Stellung zu nehmen. Dieser Service kann f&uuml;r verschiedene Zwecke verwendet werden, z.B. f&uuml;r Anleitungen zur Konfiguration und Fehlerbeseitigung, Klarstellungen zur Ausnutzbarkeit der Sicherheitsl&uuml;cken, tiefergehende Analysen der Schwachstellen, Widerlegung von Schwachstelleninformationen, die von Dritten herausgegeben wurden, sowie Erkl&auml;rungen &uuml;ber die Auswirkungen der Sicherheitsl&uuml;cke.

Red Hat wird als erster Software-Anbieter zu diesem Service beitragen und der NVD Echtzeit-Updates dar&uuml;ber liefern, wie sich Schwachstellen auf Red Hat-Produkte auswirken oder nicht auswirken k&ouml;nnen. Diese Informationsquelle ist von entscheidender Bedeutung f&uuml;r die rechtzeitige Verbreitung von Sicherheitsinformationen unter den Red Hat-Kunden und wird ihnen erlauben, falls erforderlich, sofortige Ma&szlig;nahmen zu ergreifen. Die Vorteile f&uuml;r Kunden werden vervielfacht, wenn der Service von der gesamten Software-Branche verwendet wird.

&quot;Mit fortschrittlichen Entwicklungen wie SELinux und Execshield haben Red Hat und die Open Source-Gemeinschaft weitere hervorragende Sicherheitsfunktionen in die Plattform eingebaut. Sie bieten integralen Schutz gegen die Ausnutzung von Schwachstellen. Wir suchen zudem st&auml;ndig nach Wegen, unsere Sicherheitsma&szlig;nahmen zu verbessern und zu st&auml;rken. Die Verbesserung der Kommunikationswege und -mechanismen, wie unsere Kunden zu Informationen &uuml;ber Schwachstellen gelangen, ist eine weitere M&ouml;glichkeit, unseren Kunden zu helfen&quot;, erkl&auml;rt Mark J. Cox, Security Response Director von Red Hat. &quot;Durch unsere Arbeit mit der National Vulnerability Database von NIST k&ouml;nnen wir jetzt offizielle Meldungen &uuml;ber Schwachstellen und deren m&ouml;gliche Auswirkungen &uuml;ber einen allgemein anerkannten Mechanismus verbreiten und zudem der gesamten Software-Branche erm&ouml;glichen, daran teilzunehmen.&quot;

&quot;Wir begr&uuml;&szlig;en Red Hats Idee, einen Service f&uuml;r offizielle Meldungen von Software-Anbietern innerhalb der National Vulnerability Database zu schaffen&quot;, kommentiert Peter Mell, NVD Program Manager bei NIST. &quot;Software-Anbieter verf&uuml;gen &uuml;ber das gr&ouml;&szlig;te Wissen &uuml;ber ihre Produkte und sind am besten in der Lage, zu Schwachstellen Stellung zu nehmen. Dank der Kreativit&auml;t von Red Hat k&ouml;nnen wir diesen Service der gesamten Software-Entwicklungsgemeinschaft anbieten.&quot;

Die NVD ist eine allgemein anerkannte, umfassende Ressource, die alle &ouml;ffentlich verf&uuml;gbaren Informationen der US-amerikanischen Regierung &uuml;ber ITK-Sicherheitsl&uuml;cken enth&auml;lt. Anwender von Open Source Software k&ouml;nnen sie genauso nutzen wie Benutzer propriet&auml;rer Software. Durch die Kommunikation zentralisierter Informationen &uuml;ber Schwachstellen, werden Kunden und Anwender vermehrt von Informationen profitieren, die sowohl von der US-amerikanischen Regierung als auch von den Software-Anbietern selbst stammen.

Stellungnahmen von Software-Anbietern innerhalb der NVD finden sich auf http://nvd.nist.gov. Die Meldungen der Software-Anbieter sind nach den entsprechenden Sicherheitsl&uuml;cken geordnet. Ein komplettes XML-Feed wird alle zwei Stunden aktualisiert und steht auf http://nvd.nist.gov/... zur Verf&uuml;gung. Mehr &uuml;ber Red Hats Engagement, Initiativen, L&ouml;sungen und Ressourcen zur Steigerung der Sicherhit in Informationstechnologie und Telekommunikation finden sich auf http://www.redhat.com/....