Mozilla-Foundation entwickelt Modell für Sicherheitsmetrik

Die Mozilla-Foundation will ein Modell entwickeln, mit dem sich die Sicherheit ihres Web-Browser Firefox besser erfassen lassen soll. Anders als etwa bei Microsoft soll dabei die Zahl der offiziell bereit gestellten Sicherheits-Updates nicht der alleinige Parameter sein – nach Redmonder Zählart würden keine Patches nämlich eine hohe Sicherheit bedeuten. Vielmehr will die Foundation verschiedene Faktoren aus dem Entwicklungsprozess und die dabei eingesetzten Techniken und Tools in die Bewertung einbeziehen. Auch der Prozess von der Meldung einer Sicherheitslücke bis zur Verteilung des Patches soll bewertet werden.
Einer der wichtigsten Faktoren soll zudem die Dauer sein, die Firefox-Anwender einer Bedrohung aufgrund einer ungepachter Lücke ausgesetzt sind. Die aus den Ergebnissen ermittelte Sicherheitsmetrik wollen die Entwickler nutzen, um zu erkennen, an welcher Stelle im Entwicklungs- und Patch-Prozess es hapert. Erste Modell-Ansätze wurden zusammen mit dem Sicherheitsspezialisten Rich Mogull entwickelt, der ein rudimentäres Excel-Sheet zum Download und zur Diskussion stellt, in dem Ziele und Parameter definiert sind.

Bereits auf der Black Hat 2008 haben Wissenschafter der ETH Zürich eine neue Metrik für Sicherheit vorgestellt, diese allerdings nur auf Betriebssysteme bezogen. Dazu zählten sie nicht allein die Anzahl der Lücken und wie kritisch diese sind, sondern ermittelten zudem die Zero-Day-Patch-Rate, die bewertet, ob ein Hersteller in der Lage ist, zum Zeitpunkt des Bekanntwerdens einer Lücke einen Patch zur Verfügung zu stellen.(Quelle:Heise.de)

Siehe dazu auch:

• Mozilla Security Metrics Project, Ankündigung der Mozilla-Foundation
• Kritik an Sicherheitsstudie: Microsoft vergleicht Äpfel mit Browsern, Meldung auf heise Security