30.03, 13:30–14:30 (Europe/Berlin), Walhacka - D002
Sprache: Deutsch
Als Open Source Softwareentwickler haben wir uns gefragt, wie wir unsere Nutzer über Sicherheitslücken am besten informieren können. Im Talk beschreiben wir unsere Erfahrungen und zeigen, wie man eigene CVEs erstellen kann.
Wenn man selbst Software entwickelt, kann es schon mal passieren, dass dabei eine Sicherheitslücke auftaucht. Wenn die Software aber noch Open Source ist, dann kann man nur schwerlich wissen, wer sie einsetzt. Ein verantwortungsvoller Umgang mit Sicherheitslücken bedeutet also auch, dass man die Betroffenen möglichst gut informiert. Dazu eignet sich die Common Vulnerabilities and Exposures Datenbank CVE. Aber wie kommt man an einen CVE-Eintrag? Wir sind den Weg gegangen, selbst CVEs für unser Programm zu vergeben. Dazu wurden wir eine CVE Numbering Authority (CNA).
Darüber wollen wir im Talk berichten und zeigen, wer und wie man das ebenfalls machen kann.
Ich bin Mitgründer der Hallo Welt! GmbH aus Regensburg, die das Open Source Wiki BlueSpice herstellt. Zudem bin ich im Umfeld der Wikimedia in verschiedenen Funktionen aktiv, z.b. in der MediaWiki Stakeholders' Group. Vor einiger Zeit habe ich auch Bücher über Wikis, Joomla! und das Social Web geschrieben und über Privatsphäre promoviert.
Ich arbeite seit mehr als 13 Jahren als Entwickler an OpenSource Software Projekten und bin gerne in der Community unterwegs.