(openPR) Transparenz in Echtzeit: offizielle Meldungen zu Schwachstellen und Sicherheitslücken
München, 7. September 2006 - Red Hat engagiert sich weiter für die Sicherheit in Informationstechnologie und Telekommunikation. Der weltweit führende Anbieter von Open Source-Lösungen unterstützt eine neue Initiative, die vom National Institute of Standards and Technology (NIST) umgesetzt wird. Sie bietet Software-Unternehmen ein Forum für die öffentliche Bekanntmachung und Diskussion von Sicherheitslücken. Aufgrund der Empfehlung von Red Hat wird dieser Service in die National Vulnerability Database (NVD) der NIST integriert.
Red Hat wandte sich mit der Idee an NIST, die NVD zu verwenden, um einen Dienst für die Veröffentlichung offizieller Meldungen von Software-Anbietern zu schaffen. Die Veröffentlichungen sollen Bezeichnungen gemäß des Industriestandards Common Vulnerabilities and Exposures (CVE) verwenden, der die Einführung einer einheitlichen Namenskonvention bezweckt. Die Software-Branche erhält damit ein offenes, transparentes Forum, in dem Informationen über Sicherheitslücken bekannt gegeben werden können. Sowohl Anbieter von Open Source als auch von proprietärer Software haben jetzt die Gelegenheit, über Sicherheitslücken in ihren Produkten zu informieren und dazu Stellung zu nehmen. Dieser Service kann für verschiedene Zwecke verwendet werden, z.B. für Anleitungen zur Konfiguration und Fehlerbeseitigung, Klarstellungen zur Ausnutzbarkeit der Sicherheitslücken, tiefergehende Analysen der Schwachstellen, Widerlegung von Schwachstelleninformationen, die von Dritten herausgegeben wurden, sowie Erklärungen über die Auswirkungen der Sicherheitslücke.
Red Hat wird als erster Software-Anbieter zu diesem Service beitragen und der NVD Echtzeit-Updates darüber liefern, wie sich Schwachstellen auf Red Hat-Produkte auswirken oder nicht auswirken können. Diese Informationsquelle ist von entscheidender Bedeutung für die rechtzeitige Verbreitung von Sicherheitsinformationen unter den Red Hat-Kunden und wird ihnen erlauben, falls erforderlich, sofortige Maßnahmen zu ergreifen. Die Vorteile für Kunden werden vervielfacht, wenn der Service von der gesamten Software-Branche verwendet wird.
"Mit fortschrittlichen Entwicklungen wie SELinux und Execshield haben Red Hat und die Open Source-Gemeinschaft weitere hervorragende Sicherheitsfunktionen in die Plattform eingebaut. Sie bieten integralen Schutz gegen die Ausnutzung von Schwachstellen. Wir suchen zudem ständig nach Wegen, unsere Sicherheitsmaßnahmen zu verbessern und zu stärken. Die Verbesserung der Kommunikationswege und -mechanismen, wie unsere Kunden zu Informationen über Schwachstellen gelangen, ist eine weitere Möglichkeit, unseren Kunden zu helfen", erklärt Mark J. Cox, Security Response Director von Red Hat. "Durch unsere Arbeit mit der National Vulnerability Database von NIST können wir jetzt offizielle Meldungen über Schwachstellen und deren mögliche Auswirkungen über einen allgemein anerkannten Mechanismus verbreiten und zudem der gesamten Software-Branche ermöglichen, daran teilzunehmen."
"Wir begrüßen Red Hats Idee, einen Service für offizielle Meldungen von Software-Anbietern innerhalb der National Vulnerability Database zu schaffen", kommentiert Peter Mell, NVD Program Manager bei NIST. "Software-Anbieter verfügen über das größte Wissen über ihre Produkte und sind am besten in der Lage, zu Schwachstellen Stellung zu nehmen. Dank der Kreativität von Red Hat können wir diesen Service der gesamten Software-Entwicklungsgemeinschaft anbieten."
Die NVD ist eine allgemein anerkannte, umfassende Ressource, die alle öffentlich verfügbaren Informationen der US-amerikanischen Regierung über ITK-Sicherheitslücken enthält. Anwender von Open Source Software können sie genauso nutzen wie Benutzer proprietärer Software. Durch die Kommunikation zentralisierter Informationen über Schwachstellen, werden Kunden und Anwender vermehrt von Informationen profitieren, die sowohl von der US-amerikanischen Regierung als auch von den Software-Anbietern selbst stammen.
Stellungnahmen von Software-Anbietern innerhalb der NVD finden sich auf http://nvd.nist.gov. Die Meldungen der Software-Anbieter sind nach den entsprechenden Sicherheitslücken geordnet. Ein komplettes XML-Feed wird alle zwei Stunden aktualisiert und steht auf http://nvd.nist.gov/download/vendorstatements.xml zur Verfügung. Mehr über Red Hats Engagement, Initiativen, Lösungen und Ressourcen zur Steigerung der Sicherhit in Informationstechnologie und Telekommunikation finden sich auf http://www.redhat.com/security.
Red Hat, Inc.
Red Hat ist der weltweit führende Anbieter von Open Source- und Linux-Produkten. Das Unternehmen hat seinen Hauptsitz in Raleigh, North Carolina, und Niederlassungen weltweit. Red Hat verfügt über den vertrauenswürdigsten Namen in der Open Source-Branche. Zum zweiten Mal in Folge hat Red Hat 2006 den ersten Platz in der "CIO Insight"-Studie des Ziff Davis Verlags belegt, in der CIOs und andere IT-Entscheidungsträger den von Technologieanbietern gebotenen Mehrwert für Anwenderunternehmen beurteilen. Das Unternehmen etabliert Linux und Open Source-Lösungen für den Unternehmenseinsatz, indem es hochwertige, kostengünstige Technologien zur Verfügung stellt. Red Hat bietet Betriebssystem-Software an sowie Middleware, Applikationen und Management-Lösungen. Der Open Source-Marktführer offeriert seinen Kunden selber oder über Partner auch Schulungen und Beratungsdienstleistungen. Red Hats Open Source Strategie bietet den Kunden einen langfristigen Plan für den Aufbau von IT-Infrastrukturen, die auf Open Source-Technologien basieren und besonders sicher und einfach zu verwalten sind.
Die Red Hat-Europazentrale befindet sich in München. In Deutschland ist Red Hat zudem mit einer Niederlassung in Stuttgart vertreten. Weitere Informationen finden sich unter www.redhat.de.
Pressekontakt Red Hat:
Marcus Birke
AxiCom GmbH
Junkersstr. 1
82178 Puchheim
Tel.: 089-800 908-26
Fax: 089-800 908-10
eMail:
Web: www.axicom.de
