Mozilla will die Sicherheit von Firefox mit einer neuen Metrik erfassen

Mozilla will die Sicherheit ihres Webbrowsers Firefox besser erfassen. In das geplante Modell für Sicherheitsmetrik sollen neben der Anzahl der veröffentlichten Patches noch weitere Parameter einfließen. Aufgrund der Anzahl der Patches bewertet die Konkurrenz von Microsoft die Browsersicherheit. Nach dieser Logik wäre ein Fehlen von Sicherheitspatches ein Hinweis auf besonders hohe Sicherheit. Die Mozilla-Foundation will diverse Faktoren aus dem Entwicklungsprozess und der eingesetzten Techniken und Tools zur Bewertung heranziehen. Zudem soll auch der Prozess von der Meldung einer Sicherheitslücke bis zu ihrer Beseitigung und vor allem die Dauer der Bedrohung in die Bewertung einfließen. Die im Bewertungsverfahren gewonnenen Erkenntnisse sollen zur Verbesserung des Entwicklungsprozesses genutzt werden. In die Entwicklung des Modells wurde auch der Sicherheitsspezialist Rich Mogull einbezogen, der bereits ein rudimentäres Excel-Sheet veröffentlicht hat, welches die Ziele und Parameter definiert. Auf der Black Hat 2008 hatten Wissenschafter der ETH Zürich bereits eine neue Metrik für die Sicherheit von Betriebssystemen vorgestellt. Wichtige Kriterien waren hier neben der reinen Anzahl der Lücken, auch die Gefahr die von den Schwachstellen ausgeht und die Fähigkeit der Hersteller, bei Bekanntwerden von Problemen geeignete Patches zur Verfügung zu stellen (sogenannte Zero-Day-Patch-Rate).

0 Kommentar(e)

Zum Posten von Kommentaren bitte