Nick Wellnhofer, der Betreuer der Bibliothek libxml2, gab bekannt, dass er Sicherheitslücken künftig wie normale Fehler behandeln werde. Meldungen über Sicherheitslücken würden nicht priorisiert, sondern nach Möglichkeit behoben. Informationen über die Art der Sicherheitslücke würden sofort öffentlich zugänglich gemacht, ohne dass auf die Erstellung eines Patches und dessen Verteilung an Distributionen und Betriebssysteme gewartet werden müsse. Nick trat außerdem als Betreuer der Bibliothek libxslt zurück und äußerte Zweifel, ob sich jemand bereit erklären würde, deren Support zu übernehmen.
Der Projektbeschreibung von libxml2 wurde ein Hinweis hinzugefügt, der darauf hinweist, dass die Bibliothek von Enthusiasten geschrieben, von einem einzelnen Freiwilligen gepflegt, unzureichend getestet und in einer speicherunsicheren Sprache geschrieben wurde, zahlreiche Schwachstellen aufweist und nicht für den Umgang mit nicht vertrauenswürdigen Daten empfohlen wird. Sicherheitsprobleme sollten über das reguläre öffentliche Problemverfolgungssystem gemeldet werden und werden wie jedes andere Problem behandelt. Es werden keine weiteren Schwachstellen hinter verschlossenen Türen behoben, und alle bekannten Sicherheitsprobleme werden unverzüglich öffentlich zugänglich gemacht, unabhängig von etwaigen Geheimhaltungsverpflichtungen bis zu einem bestimmten Datum und ohne Verzögerung der Veröffentlichung bis zur Veröffentlichung.
Es wird erwartet, dass die Umstellung auf die Behandlung von Schwachstellen als reguläre Fehler es Nick ermöglicht, sich auf die Hauptarbeit an libxml2 zu konzentrieren, ohne durch ungeplante Aufgaben unterbrochen zu werden. Derzeit muss Nick mehrere Stunden pro Woche mit der Bearbeitung von Schwachstellenberichten und der Vorbereitung von Patches verbringen, was angesichts der Tatsache, dass die Wartung aus purer Begeisterung durchgeführt wird, einen relativ hohen Arbeitsaufwand darstellt.
Es wird darauf hingewiesen, dass das Verbergen von Informationen über Schwachstellen vor der Veröffentlichung von Updates und Metriken wie der OpenSSF Scorecard lediglich ein Versuch großer Unternehmen ist, den Betreuern ein schlechtes Gewissen zu machen und sie zur unbezahlten Arbeit zu zwingen. Zusätzliche Anforderungen an ehrenamtliche Betreuer, die ohne Vergütung arbeiten, werden als schädliche Praxis bezeichnet.
Laut Nick ist die Qualität von libxml2 nicht für den Einsatz in Browsern und Betriebssystemen geeignet. Große Unternehmen wie Apple, Google und Microsoft verwenden libxml2 jedoch bereits in ihren Betriebssystemen und Produkten. Solches Vorgehen gilt als unverantwortlich, und die Arbeit zielt darauf ab, Symptome zu beseitigen, nicht die Ursache der Probleme. Laut Nick wäre es für das Projekt besser, wenn die genannten Unternehmen die Verwendung von libxml2 einstellen würden.
Source: opennet.ru
