Online-Service soll schneller vor Sicherheitslücken warnen

Sobald eine Sicherheitslücke entdeckt wird, ist es wichtig, dass Entwickler und Anwender so schnell wie möglich darüber informiert werden. Nach Meinung des IT-Sicherheitsexperten Matt Sullivan geschieht das häufig zu langsam. "Wie Cloudflare und andere während des Log4j-Vorfalls berichteten, nahmen die Angriffe bereits massiv zu, als das Problem auf Twitter gemeldet wurde." Die Vergabe der CVE-Nummer sei erst 13 Stunden später erfolgt. (CVE= Common Vulnerabilities and Exposures). Im CVE-Verzeichnis werden alle bekannten Sicherheitslücken von Computersystemen aufgelistet.

Vor diesem Hintergrund entwickelte Sullivan einen Online-Dienst, der Warnungen zu akuten Schwachstellen verschickt. Interessierte können sich über die Plattform bugalert.org registrieren und wählen, ob sie per Telefon, SMS oder E-Mail benachrichtigt werden wollen. Da die Website auf der quelloffenen Software GitHub basiert, können Warnungen zu Sicherheitslücken von jedem per Pull Request eingereicht werden. Nach der Veröffentlichung auf der Seite werden die Benachrichtigungen laut Entwickler in weniger als zehn Minuten an alle anderen Teilnehmer zugestellt.

Sullivan geht davon aus, dass etwa drei Viertel der derzeit 600 Bug Alert-Abonnenten sich für SMS-Warnungen angemeldet haben. "Das hat einen eindeutigen Grund. Die Leute sagen: 'Meine E-Mail reicht nicht aus, ich brauche etwas, das ein bisschen direkter ist'. Viele sind sicher an einer frühzeitigen Benachrichtigung interessiert, vor allem aber auf eine andere Art als bisher."