Die Europäische Kommission hat im Rahmen des Gesetzes über die digitalen Märkte (Digital Markets Act, DMA) Booking als Gatekeeper für seinen Online-Vermittlungsdienst Booking.com eingestuft.

Nachdem Microsoft Ende 2023 die Secure Future Initiative (SFI) ins Leben gerufen hat, um sich auf Cyberangriffen vorzubereiten, macht der Konzern nun laut dem Executive Vice President Microsoft…

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Betreiber von Microsoft Exchange Servern dazu aufgerufen, ihre Systeme zu patchen und upzudaten.

Die großen Browser-Hersteller wollen ihre Arbeit für das Jahr 2024 besser aufeinander abstimmen. Eine häufig geforderte Funktion fehlt dabei.

Das Microsoft Azure Incubations Team hat mit Radius eine Cloud-native Anwendungsplattform angekündigt, die es Entwicklern und Plattformingenieuren ermöglichen soll, bei der Bereitstellung und Verwaltung von Cloud-nativen Anwendungen zusammenzuarbeiten. Radius ist als Open-Source-Projekt angelegt.

Zum Start soll Radius die Bereitstellung von Anwendungen in privaten Clouds, Microsoft Azure und Amazon Web Services unterstützt, weitere Cloud-Anbieter sollen folgen, heißt es im Beitrag des Azure Incubations Teams.

Radius unterstütze Technologien wie Kubernetes, bestehende Infrastruktur-Tools wie Terraform und Bicep und lasse sich in bestehende CI/CD-Systeme (Continuous Integration and Continuous Delivery) wie GitHub Actions integrieren. Radius unterstütze zudem mehrschichtige Web-plus-Daten- bis hin zu komplexen Microservice-Anwendungen wie eShop, einer Cloud-Referenzanwendung von Microsoft.

Da viele Unternehmen mit mehreren Clouds arbeiten und sich Lösungen wünschten, die nicht nur auf Azure, sondern auch auf anderen Clouds und vor Ort funktionieren, sei Radius von Anfang an als Open-Source- und Multi-Cloud-Projekt konzipiert worden.

Im Beitrag zu Radius sind weitere Blogposts nebst der Github-Präsenz und auch die Dokumentation verlinkt.

Der Beitrag Microsoft Radius: Cloud-native Anwendungsplattform als Open-Source-Projekt erschien zuerst auf Linux-Magazin.

Die Overture Maps Foundation (OMF), eine Initiative für interoperable offener Kartenprodukte hat ihren ersten offenen Kartendatensatz veröffentlicht.

Overture wurde im Dezember 2022 von Amazon Web Services (AWS), Meta, Microsoft und TomTom gegründet und umfasst heute mehr als ein Dutzend Mapping-, Geospatial- und Technologieunternehmen, darunter die neuen Mitglieder ESRI, Cyient, InfraMappa, Nomoko, Precisely, PTV Group, SafeGraph, Sanborn und Sparkgeo, teilt die Foundation mit.

Die jetzt veröffentlichte Version von Overture 2023-07-26-alpha.0 enthalte vier Datenebenen: Orte von Interesse (POIs), Gebäude, Verkehrsnetz und Verwaltungsgrenzen. Diese Ebenen, die verschiedene Quellen offener Kartendaten kombinierten, seien durch eine Reihe von Qualitätsprüfungen validiert und zusammengeführt worden und lägen im Datenschema von Overture Maps vor, das im Juni 2023 öffentlich zugänglich gemacht worden sei. Der Places-Datensatz enthalte Daten zu über 59 Millionen Orten weltweit und stelle damit ein grundlegendes Element für die Navigation, die lokale Suche und viele andere ortsbezogene Anwendungen dar, teilt die OMF weiter mit. Die Datensätze stehen unter https://overturemaps.org/download/ zum Download bereit.

Die Zusammenarbeit im Rahmen der Stiftung basiere auf der Prämisse, dass Kartendaten ein gemeinsames Gut sein müssten, um zukünftige Anwendungen zu unterstützen. Da die Anforderungen an Genauigkeit, Aktualität und Attributierung von Karten gestiegen seien, um den Bedürfnissen der Nutzer gerecht zu werden, würden die Kosten und die Komplexität der Erfassung und Pflege globaler Kartendaten die Möglichkeiten einer einzelnen Organisation übersteigen, lautet das Credo der Foundation.

Der Beitrag Overture Maps Foundation veröffentlicht Datensatz erschien zuerst auf Linux-Magazin.

Immer wieder bereiten Antivirenprogramme Browser-Herstellern Probleme. Microsoft hat nun einen fünf Jahre alten Bug behoben, der mit Firefox auftritt.

Windows-Hersteller Microsoft hat einen etwa fünf Jahre alten Fehler behoben, der für eine ungewöhnlich hohe CPU-Last des Systems gesorgt hat, sobald der Firefox-Browser eingesetzt wurde. Das geht aus einem Eintrag im Bugtracker von Mozilla hervor. Demnach sei die Ursache für die hohe CPU-Last ein Teil der in Windows eingebauten Antivirenlösung Defender.

Schnell haben die beteiligten Entwickler als Grund für die CPU-Last von Windows Defender ein spezielles Zusammenspiel mit dem Betrieb des Firefox-Browsers vermutet. Immerhin ist die Aufgabe des Windows-Programms unter anderem, ungewöhnliche Aktivitäten von Software wie eben dem Browser zu erkennen. Dafür werden auch von dem Firefox genutzte Dienste oder geschriebene Dateien überwacht.

Nach mehreren Jahren ohne größere Ursachenforschung nahm sich schließlich ein Mozilla-Entwickler des Problems an und untersuchte das Verhalten mithilfe von Profiling-Werkzeugen unter Windows. Dabei stellte sich heraus, dass der Firefox sehr viele Aufrufe der Virtual-Protect-API der Windows-Speicherschnittstelle macht. Ist die Echtzeiterkennung von Windows Defender aktiviert, führt das wiederum zu der deutlich überhöhten CPU-Last des Kernbestandteils der Antivirenlösung.

Wie es in dem Bugeintrag von Mozilla heißt, hat Microsoft dieses Verhalten als Fehler anerkannt, inzwischen behoben und eine aktualisierte Version des Defender in der vergangenen Woche verteilt. Damit sinkt dann die CPU-Last bei der Nutzung des Firefox-Browsers. Zusätzlich dazu arbeitet Mozilla aber weiter an seinem Profiling und einer verbesserten Nutzung des Speicher-APIs von Microsoft, was insbesondere für die Nutzung der JIT-Compiler von Vorteil sein soll.

Der Beitrag Defender-Bug verursachte hohe CPU-Last bei Firefox-Nutzung erschien zuerst auf Linux-Magazin.

Der VPN-Anbieter AtlasVPN hat die “Common Vulnerabilities and Exposures§-Datenbanken (CVE) für das Jahr 2022 untersucht und kommt zum Schluss, dass Google, das Fedora Projekt und Microsoft Produkte dort mit den meisten Schwachstellen verzeichnet sind.

Der Untersuchung nach wiesen Google-Produkte 1372 Sicherheitslücken im Jahr 2022 auf, die meisten von allen Anbietern. Das Android-Betriebssystem kam dabei auf 897 Schwachstellen, und die Sicherheitsforscher fanden 283 Schwachstellen im Chrome-Browser. Das Fedora Projekt landet mit 945 entdeckten Schwachstellen auf dem zweiten Platz und Microsoft-Produkte mit 939 Sicherheitslücken auf dem dritten. Debian-Produkte enthielten 887 Schwachstellen auf, und das Linux-Betriebssystem von Debian hatte 884 Schwachstellen. Apple wies 456 Schwachstellen in seinen Produkten auf, davon entfielen auf macOS 379 Schwachstellen, berichtet AtlasVPN.

Zu der Statistik seien allerdings einige Erläuterungen nötig, so AtlasVPN. Eine davon sei, dass mehr entdeckte Schwachstellen nicht gleichbedeutend mit weniger Sicherheit seien. Bei Open Source Projekten würden, bedingt durch die oft hohe Zahl an Beteiligten, auch mehr Schwachstellen entdeckt. Werden diese auch behoben, könnte die Software letztlich auch sicherer sein.

Ein weiterer Faktor sei der Schweregrad der Lücken. CVE bewerte diese von 0 bis 10, wobei 10 für die kritischsten und schwerwiegendsten Schwachstellen stehe.  Wenn man diese Einschätzungen berücksichtigt, sieht es für Fedora wie folgt aus: Nur 2 Prozent der Schwachstellen werden im Fedora-Projekt als besonders schwerwiegend eingestuft, während der Stufen 6 bis 7 dann 21 Prozent aller Exploits ausmachen. Die Mehrheit, 28 Prozent der Schwachstellen, wird mit 4 bis 5 bewertet. Außerdem entfallen 10 Prozent auf Exploits, die mit 0 bis 1 bewertet wurden, berichtet AtlasVPN.

Gemessen am Schweregrad rückt Microsoft nach oben. Mehr als ein Fünftel (23 Prozent) der in Microsoft-Produkten gefundenen Sicherheitslücken werden mit 9+ bewertet. Darüber hinaus werden 20 Prozent der Sicherheitslücken mit 7 bis 8 bewertet. Solch hohe Bewertungen bedeuten, dass entdeckte Sicherheitslücken in Microsoft-Produkten häufiger ausgenutzt werden und den größten Schaden auf dem Gerät des Opfers anrichten können, so AtlasVPN.

Der Beitrag CVE: Google, Fedora und Microsoft mit den meisten Schwachstellen erschien zuerst auf Linux-Magazin.

Das Windows Subsystem für Linux (WSL) im Microsoft Store hat sein “Preview”-Label verloren und wird der nun veröffentlichten neuen Version allgemein verfügbar, teilt Microsoft mit. Die Store-Version von WSL werde nun auch zur Standardversion für neue Benutzer, die “wsl –install” ausführen, heißt es weiter.

Für bestehende Benutzer sei ein einfaches Upgrade durch wsl –update möglich, teilt Microsoft weiter mit. Wer die Store-Version der WSL verwende, erhalten WSL-Updates auch schneller als früher, als das WSL noch eine Windows-Komponente gewesen sei, erläutert Microsoft.

Auf Wunsch der WSL-Community sei WSL im Store neben Windows 11 nun auch unter Windows 10 verfügbar. Damit könnten auch Windows 10-Nutzer die neuen WSL-Funktionen nutzen, einschließlich “systemd” und Linux-GUI-App-Unterstützung.

Craig Loewen, Program Manager bei der Windows Developer Platform beschreibt die künftigen Versionen von WSL so: Da WSL 2 der Standard-Distributionstyp ist und die Store-Version von WSL der Standard-Installationsort ist, können Sie einfach sagen: WSL ist eine App im Microsoft Store, mit der Sie ein echtes Linux ausführen können, das sich direkt in Windows integriert.

Um die neueste Version von WSL installieren zu können, muss auch Windows auf dem neuesten Stand sein, schreibt Craig Loewen. In seinem ausführlichen Blogpost sind die Details und Voraussetzungen genannt.

Der Beitrag Windows Subsystem für Linux offiziell im Windows-Store erschien zuerst auf Linux-Magazin.

Über einen fehlerhaft konfigurierten Microsoft-Server waren sensible Kundendaten offen im Internet einsehbar. Nachdem Sicherheitsforscher das Unternehmen am 24. September 2022 über das Datenleck informiert hatten, habe man den Server abgesichert, teilte Microsoft mit.

“Diese Fehlkonfiguration führte dazu, dass ein nicht authentifizierter Zugriff auf einige geschäftliche Transaktionsdaten möglich war, die mit der Interaktion zwischen Microsoft und potenziellen Kunden zusammenhängen, wie z. B. die Planung oder potenzielle Implementierung und Bereitstellung von Microsoft-Diensten”, erklärte das Unternehmen.

Das Leck sei durch eine “unbeabsichtigte Fehlkonfiguration auf einem Endgerät, das nicht im gesamten Microsoft-Ökosystem verwendet wird”, und nicht durch eine Sicherheitslücke verursacht worden, betonte Microsoft.

Einsehbar waren demnach Namen, E-Mail-Adressen, E-Mail-Inhalte, Firmennamen und Telefonnummern sowie Dateien, die im Zusammenhang mit Geschäften zwischen den betroffenen Kunden und Microsoft oder einem autorisierten Microsoft-Partner stehen. “Unsere Untersuchung ergab keinen Hinweis darauf, dass Kundenkonten oder -systeme kompromittiert wurden. Wir haben die betroffenen Kunden direkt benachrichtigt”, erklärt Microsoft.

Laut der Sicherheitsfirma Socradar, die das Datenleck entdeckt hatte, handelte es sich um einen falsch konfigurierten Azure Blob Storage, der von Microsoft verwaltet wurde und sensible Daten eines Cloudanbieters enthielt.

Die betroffenen Daten sollen demnach aus den Jahren 2017 bis 2022 stammen. Betroffen seien 65.000 Unternehmen aus 111 Ländern. Insgesamt habe man auf 2,4 TByte an Daten zugreifen können, darunter 335.000 E-Mails. Microsoft hält die Zahlen von Socradar für übertrieben.

Der Beitrag Datenleck bei Microsoft erschien zuerst auf Linux-Magazin.

Laut Microsoft führen staatliche Hacker derzeit Angriffe auf Linkedin durch. Dabei arbeiten sie mit um Schadfunktionen erweiterter Open-Source-Software.

Auf dem Karrierenetzwerk Linkedin sollen staatliche Hackergruppen gezielt Nutzer mittels Social Engineering angreifen und sie anschließend zur Installation von um Schadfunktionen erweiterte Open-Source-Programme überreden. Davor warnt Microsoft in einem Blogeintrag. Hinter den Angriffen soll die staatliche Hackergruppe Zinc, die auch unter dem Namen Lazarus bekannt ist, stecken.

Demnach kontaktieren die Angreifer ihre Zielpersonen auf Linkedin und geben sich als Personalvermittler. Damit bauen sie nach und nach Vertrauen auf und bitten ihre Opfer, für die weitere Kommunikation auf den Messenger Whatsapp zu wechseln.

Dort überredeten die Angreifer ihre Opfer, sich eine Software zu installieren, bei der es sich um verschiedene Open-Source-Softwarepakete handelte, die um Schadfunktionen ergänzt wurden. Dazu gehören beispielsweise Putty, Kitty, TightVNC, Sumatra PDF Reader und muPDF.

Bei den Angriffen handelt es sich laut Microsoft um gewöhnliche Cyberspionage und Versuche, Geld oder Daten zu stehlen, oder einfach nur um die Sabotage von Unternehmensnetzwerken. Die Angriffe sollen seit Juni dieses Jahres durchgeführt werden.

“Die Akteure haben seit Juni 2022 zahlreiche Organisationen erfolgreich kompromittiert”, schreibt Microsoft. “Aufgrund der weiten Verbreitung der Plattformen und Software, die ZINC in dieser Kampagne nutzt, könnte ZINC eine erhebliche Bedrohung für Einzelpersonen und Organisationen in verschiedenen Sektoren und Regionen darstellen.”

Die Abteilung für Bedrohungsprävention hat in der Vergangenheit bereits mehrere gefälschte Profile von Zinc entdeckt und gelöscht, die es vor allem auf Ingenieure und technische Supportmitarbeiter abgesehen hatten, schreibt das Onlinemagzin The Register.

Der Beitrag Microsoft warnt vor Angriffen mit Linkedin und Open-Source-Software erschien zuerst auf Linux-Magazin.

Microsoft hat rund 1500 seiner Emojis unter einer freien Lizenz veröffentlicht. “Ab heute können Sie den Großteil unserer Emoji-Bibliothek in Figma und auf Github als Open Source nutzen”, teilt Microsofts Design-Chef Jon Friedman mit.

Es gebe zwar einige Ausnahmen, die aufgrund von Markenrechten nicht dabei seien, etwa das bekannte Microsoft-Maskottchen Karl Klammer sowie auch Nationalflaggen, dennoch sei es ein wahres Sammelsurium an Emoji, mit denen man bauen könne, so Friedman.

Ein Team von Designern und Ingenieuren habe über ein Jahr lang daran gearbeitet, dass die Emojis in jedem benötigten Format verwendet werden könnten, so Friedman. Genauso wie es Closed Caption in verschiedenen Sprachen gäbe, müssten Emoji als SVG-, PNG- und JPG-Datei vorliegen, um wirklich vielseitig einsetzbar zu sein. Und für jedes dieser Formate solle es eine Vektor-, eine flache und eine einfarbige Version erstellt werden, um Skalierbarkeit und Flexibilität zu gewährleisten, berichtet Friedman. Die Emoji-Sammlung hat Microsoft auf Github gestellt. Als Lizenz hat Microsoft die MIT-License gewählt.

Der Microsoft-Mitarbeiter beschreibt in seinem Beitrag zudem den Wandel, den auch professionelle Prozesse mitmachen, weg von geschlossenen und hierarchischen Normen. Das mache die Open-Source-UX-Kultur so interessant und entspreche der eigenen Design-Philosophie des “Design in the Open”. Er habe aus erster Hand erfahren, wie sich die Firmenkultur und die Produkte dadurch verändert hätten.

Der Beitrag Microsoft macht Emojis Open Source erschien zuerst auf Linux-Magazin.

Bisher war Microsoft von Duckduckgos Trackingschutz im hauseigenen Browser und in Add-ons ausgenommen. Das soll sich nach Kritik ändern.

Die mit Datenschutzfunktionen beworbenen Browser und Add-ons des alternativen Suchmaschinenanbieters Duckduckgo blockieren nun auch Tracking-Skripte von Microsoft. Im Mai 2022 hatte der Sicherheitsforscher Zach Edwards darauf hingewiesen, dass Domains und Skripte von Microsoft vom Trackingschutz ausgenommen wurden. Beworben wurden die Softwareprodukte aus dem Hause Duckduckgo jedoch mit einem umfassenden Trackingschutz. Einen Hinweis auf die Microsoft-Ausnahmen gab es nicht.

Entdeckt hatte Edwards die Ausnahme offenbar in den Datenschutzbestimmungen des Duckduckgo-Browsers. Hintergrund sind laut Duckduckgos CEO Gabriel Weinberg “vertragliche Verpflichtungen mit Microsoft”. Microsofts Suchmaschine Bing ist die zentrale Quelle für Duckduckgos Suchergebnisse und auch im Anzeigengeschäft der alternativen Suchmaschine ist Microsoft Partner.

“Bisher waren wir in der Anwendung unserer 3rd-Party-Tracker-Loading-Protection auf Microsoft-Tracking-Skripte eingeschränkt, da wir Bing als Quelle für unsere privaten Suchergebnisse nutzen”, heißt es in einer Erklärung von Weinberg. “Wir sind froh, dass dies nicht mehr der Fall ist. Wir hatten und haben keine ähnliche Einschränkung mit einem anderen Unternehmen.”

Skripte von Microsoft seien jedoch nie in die Suchmaschine oder Anwendungen eingebettet worden, betont Weinberg. Vielmehr filterte Duckduckgos Software die Tracking-Skripte von Microsoft auf Webseiten von Dritten nicht heraus, wie es beispielsweise mit Tracking-Skripten von Google der Fall ist.

Eine Ausnahme gibt es demnach jedoch weiterhin: Wird auf eine Anzeige in der Suchmaschine Duckduckgo geklickt, werden entsprechende Skripte von bat.bing.com geladen, um Conversations zu messen – also ob Klicks von Anzeigen tatsächlich zu Produktkäufen geführt haben. Diese Skripte werden im Kontext der Duckduckgo-Webseite weiterhin nicht von Duckduckgos Software blockiert, in anderen Kontexten jedoch schon.

Dennoch sei das Betrachten von Anzeigen auf Duckduckgo anonym. Microsoft habe sich verpflichtet, keine Profile der Duckduckgo-Nutzer über die Klicks auf Anzeigen zu erstellen, betont Weinberg. “Um die Abhängigkeit von bat.bing.com bei der Bewertung der Anzeigeneffektivität zu ersetzen, haben wir mit der Arbeit an einer Architektur für private Anzeigenkonversionen begonnen, die von außen als nicht profilierend validiert werden können.”

Damit überprüft werden kann, welche Tracking-Skripte blockiert werden und welche nicht, hat Duckduckgo nun zudem die Blockierlisten auf Github öffentlich zugänglich gemacht.

Der Beitrag Duckduckgo blockiert nun auch Microsoft-Tracker – meistens erschien zuerst auf Linux-Magazin.

Dass Linux-Systeme nicht auf Lenovo-Rechnern starten, liegt wohl an Bedingungen von Microsoft. Die sind aber weder öffentlich noch abgestimmt.

Mit der Initiative der Secured-Core-PCs und dem speziell dafür erstellten Security-Chip Pluton will Windows-Hersteller Microsoft die Sicherheitsarchitektur der Rechner auf Jahre verändern. Im Fall eines Thinkpad z13 von Lenovo führt dies aber dazu, dass Linux-Systeme offenbar nicht standardmäßig booten. Linux-Entwickler Matthew Garrett schreibt nun unter Berufung auf Lenovo in seinem Blog, das liege an bestimmten Bedingungen der Secured-Core-PCs-Initiative von Microsoft.

Der Grund dafür, dass die Linux-Systeme standardmäßig nicht booten, ist technisch der, dass der von Microsoft für Secure Boot erstellte CA-Schlüssel für Dritte nicht von der Firmware akzeptiert wird. Damit signierten Systemen wie Linux-Distributionen wird somit der Start verweigert. Microsoft forciert dies offenbar bei seinen Partnern der Secured-Core-PCs.

Diese Bedingungen sind laut Garrett außer durch das eine Dokument von Lenovo aber nicht öffentlich bekannt und wohl auch nicht mit der Linux-Community abgestimmt, obwohl Microsoft und die Linux-Distributoren seit Jahren zu Fragen rund um die Technik UEFI-Secure-Boot zusammenarbeiten. Immerhin signiert Microsoft die Bootloader der Distributionen, nachdem der Hersteller im Jahr 2012 die Unterstützung von Secure Boot als Voraussetzung für seine OEM-Partner einführte. Und die Community habe für diese Zusammenarbeit zahlreiche Anstrengungen unternommen, so Garrett.

Der Entwickler kommentiert die aktuelle Situation so: “Wenn also Microsoft, der selbsternannte Verwalter des UEFI-Secure Boot-Ökosystems, eine Kehrtwende macht und sagt, dass ein Haufen Binärdateien (…), die von Microsoft signiert wurden, jetzt von Microsoft als unsicher angesehen werden, ist das, ähm, irgendwie unhöflich? Vor allem, wenn ungeprüfte herstellersignierte Binärdateien immer noch als vertrauenswürdig gelten, obwohl überhaupt keine externe Überprüfung durchgeführt wird.”

Diese für die Linux-Community und -Nutzer eher unschöne Situation könne leicht durch Microsoft gelöst werden, indem das Unternehmen klare Regeln aufstelle, die auch von der der Community eingehalten und umgesetzt werden könnten. Dazu könnten auch zusätzliche Überprüfungen gehören, schlägt Garrett vor. Doch die bisherigen Entscheidungen seien ohne jede Rücksprache mit wichtigen Beteiligten umgesetzt worden, so Garrett.

Der Beitrag Auflagen für Secured-Core-PC verhindern Linux-Boot erschien zuerst auf Linux-Magazin.

Wie die Webseite Phoronix berichtet, hat der prominente Systemd-Entwickler Lennart Poettering seinen biherigen Arbeitgeber Red Hat verlassen und ist nun bei Microsoft beschäftigt. Eine offizielle Bestätigung dafür gibt es derzeit aber nicht.

Der Meldung von Phoronix zufolge soll er aber weiter mit Systemd befassen. Lennart Poettering ist in der Open-Source-Szene ein bekannter Entwickler. Er hat unter anderem Pulseaudio ursprünglich entwickelt und ist auch bekannt für seine kontroversen Debatten, unter anderem auch zur Entwicklung des Linux-Kernels.

Welche Aufgaben Poettering bei Microsoft genau erfüllen soll ist nicht bekannt. Unter anderem mit dem Windows Subsystem for Linux (WSL) hat der Konzern einen potenziellen Kandidaten für Poetterings Mitwirkung im Portfolio.

Der Beitrag Systemd-Entwickler Poettering wechselt zu Microsoft erschien zuerst auf Linux-Magazin.

Das für Linux, MacOS und Windows verfügbare freie Grafikprogramm Gimp war für Windows bislang als Installer auf der Webseite des Projekts zum Download verfügbar. Das ändert sich nun: Gimp ist offiziell im Microsoft Store zu haben.

Interessierte sollten allerdings darauf achten, dass sie wirklich die offizielle Version von Gimp im Microsoft Store herunterladen, teilen die Entwickler mit und verlinken die App in ihrer Ankündigung. Die Verbreitung von GIMP durch andere sei zwar kein Problem, aber man könne nicht wissen, was tatsächlich in einem Paket eines Drittanbieters enthalten sei, etwa Malware, weshalb man dafür nicht bürgen könne. Die offiziellen GIMP-Pakete würden weder Malware enthalten noch laden sie Dateien der Nutzer hoch, heißt es in der Ankündigung. Es gebe strenge Datenschutzrichtlinien, außerdem seien die Pakete kostenlos. Wegen der möglichen problematischen Fälle von Drittanbieterangeboten sei man erfreut, dass GIMP jetzt offiziell im Microsoft Store erhältlich sei, so dass jeder GIMP von der Quelle beziehen könne.

Für den Vertieb über den Microsoft Store habe man eng mit einem Entwicklerteam bei Microsoft zusammengearbeitet. GIMP werde als traditionelle Desktop-Anwendung angeboten, was im Grunde bedeutet, dass auch bei der Installation von GIMP aus dem Store genau das gleiche Installationsprogramm verwendet werde, wie es auf den Gimp-Download-Seiten zu finden sei. Das Programm werde dann vom Store im Silent-Modus ausgeführt.

Gut daran sei, dass es leichter zu pflegen sei. Der Nachteil sei aber, dass zusätzliche Annehmlichkeiten, die zentralisierte Repositories bieten, wie etwa die automatische Aktualisierung, nicht zur Verfügung stünden.

Der Beitrag Gimp geht in den Microsoft Store erschien zuerst auf Linux-Magazin.

Amazon, Microsoft, Google und andere wollen das Problem der IT-Security vor allem mit Geld lösen. 30 Millionen US-Dollar dafür stehen schon.

Mit dem Kollaborationsprojekt der Open Source Security Foundation (OpenSSF) wollen Größen der IT-Industrie ihre Security-Praxis vereinheitlichen und so die Open-Source-Welt besser absichern. Ein dafür vorgestellter Zehn-Punkte-Plan der OpenSSF soll im Laufe der kommenden zwei Jahre eine Finanzierungssumme von etwa 150 Millionen US-Dollar dafür umfassen, wie die Organisation mitteilt.

Eine erste Tranche der geplanten Summe stammt dabei von frühen Unterstützern der OpenSSF. Dazu zählen laut Ankündigung Amazon, Ericsson, Google, Intel, Microsoft, und VMware, die dafür zunächst gemeinsam 30 Millionen US-Dollar bereitstellen wollen. Dazu heißt es weiter: “Im Zuge der weiteren Entwicklung des Plans werden weitere Finanzmittel ermittelt, und die Arbeit wird in dem Maße beginnen, wie die einzelnen Finanzströme vereinbart werden.”

Zu den Maßnahmen des Zehn-Punkte-Plans gehören unter anderem eine bessere Ausbildung für die Security, der Aufbau einer Risiko-Analyse für Tausende Open-Source-Komponenten, das Ausrollen digitaler Signaturen für Veröffentlichungen sowie der Ersatz bestehender Komponenten in einer Sprache mit Speichersicherheit. Letzteres wird derzeit bereits von Google vorangetrieben, etwa über ein Rust-Modul für den Apache-Webserver, Rustls oder Rust im Linux-Kernel.

Die OpenSSF setzt außerdem auf Code-Scanning oder das Absichern der sogenannten Software-Supply-Chain, was Paketmanager wie NPM umfasst. Ein großer Teil der Arbeiten wird dabei nicht von der Organisation selbst umgesetzt, sondern von deren Mitgliedsunternehmen. So hat Google eine Open Source Maintenance Crew angekündigt, die gemeinsam mit den Upstream-Projekten an deren Sicherheit arbeiten soll.

Der Beitrag OpenSSF: 150 Millionen US-Dollar sollen Open Source absichern erschien zuerst auf Linux-Magazin.