Im Rahmen des Projektes zur „Codeanalyse von Open Source Software“ (CAOS 3.0) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Passwort-Manager KeePass und Vaultwarden auf ihre Sicherheitseigenschaften untersucht. Dabei wurden bei Vaultwarden zwei Sicherheitslücken mit der Einstufung „hoch“ identifiziert.
Cyberangriffe lassen sich in den meisten Fällen auf Fehler im Programmcode der betroffenen Anwendungen zurückführen. Das Projekt CAOS unterstützt dabei, häufige Schwachstellen und Risiken zu ermitteln und zu beseitigen. Das BSI überprüfte mit der mgm security partners GmbH den Quellcode der Passwort-Manager KeePass und Vaultwarden auf mögliche Mängel. Dabei gefundene Schwachstellen hat das BSI im Rahmen eines Responsible-Disclosure-Verfahrens den betroffenen Entwicklerinnen und Entwicklern mitgeteilt. Diese haben die Schwachstellen analysiert und bereits reagiert. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.
In Kooperation mit der mgm security partners GmbH hat das BSI das Projekt „Codeanalyse von Open Source Software“ (CAOS) im Jahr 2021 gestartet. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open Source Software zu erhöhen. Das Projekt soll Entwicklerinnen und Entwicklern bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open Source Software steigern. Der Fokus liegt auf Anwendungen, die vermehrt von Behörden oder Privatpersonen genutzt werden. Bei dieser neuen Veröffentlichung handelt es sich um Ergebnisse des Nachfolgeprojektes „Codeanalyse von Open Source Software“ (CAOS 3.0).
Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, sind weitere Codeanalysen geplant. Das Projekt zur „Codeanalyse von Open Source Software“ wird fortgeführt. Die Ergebnisse werden nach einem Responsible-Disclosure-Verfahren ebenfalls auf der Webseite des BSI veröffentlicht. Das Verfahren gestattet Entwicklern eine angemessene Frist zur Behebung von Sicherheitslücken vor deren Veröffentlichung.