Etwa zwei Drittel der Node.js-Anwender nutzen eine veraltete Version der JavaScript-Runtime. Zu diesem Schluss kommt die OpenJS Foundation, die hinter Node.js steht. Sie hat daher ein neues Programm ins Leben gerufen, um dem entgegenzuwirken.

Tatkräftige Hilfe bei der Node.js-Aktualisierung

Das „Node.js LTS Upgrade and Modernization“-Programm soll Unternehmen dabei unterstützen, von Legacy-Node.js-Versionen und solchen, die bereits ihr End of Life erreicht haben, auf aktuelle Versionen zu wechseln. Dabei soll dieser Umstieg auf sichere Weise geschehen. Denn wie Robin Bender Ginn, Executive Director der OpenJS Foundation, zu bedenken gibt, verlassen sich viele Unternehmen bei kritischen Systemen auf Node.js. Daher könne das Upgraden älterer Versionen schwierig und risikoreich sein.

Konkret soll das neue Programm den Kontakt zwischen Unternehmen und erfahrenen Node.js-Serviceanbietern herstellen, um eine sichere Node.js-Aktualisierung zu erreichen. Es folgt dem bestehenden Vergütungsmodell der OpenJS Foundation, der Nonprofit-Stiftung hinter Node.js: Partner erhalten 85 Prozent der Einnahmen, während die verbleibenden 15 Prozent in die Unterstützung von OpenJS und Node.js fließen.

Support via NodeSource

Als erster Partner des Programms fungiert das 2014 gegründete Softwareunternehmen NodeSource. Es wird ein Assessment von Node.js-Versionen, Dependencies und Risiken anbieten, ebenso wie Pläne für eine schrittweise Aktualisierung auf neuere Node.js-Versionen und eine Hands-on-Ausführung inklusive Code, Dependencies und Testing. Optional können Unternehmen von NodeSource Security-Support für Systeme beziehen, die sich nicht sofort aktualisieren lassen.

Open-Source-Stiftung OpenJS

Die OpenJS Foundation unter dem Dach der Linux Foundation entstand 2019 aus einer Fusion der Node.js Foundation und der JS Foundation, ebenfalls beide bei der Linux Foundation verortet. Sie ist Heimat zahlreicher Open-Source-Projekte im JavaScript-Bereich, neben Node.js unter anderem Electron, webpack und jQuery. Zu ihren Mitgliedsunternehmen zählen Microsoft, Google und IBM.

Weitere Informationen zum neuen Programm „Node.js LTS Upgrade and Modernization“ bietet der Blog der OpenJS Foundation.

(mai)

In einem Projekt, einem Proof of Concept oder in einer Laborumgebung kommt schnell der Bedarf nach einer Certificate Authority (CA) auf, die sich mit Tools wie OpenSSL, certtool oder CFSSL in wenigen Befehlen verwalten lässt. Der kritische private Schlüssel liegt dann jedoch im Dateisystem, möglicherweise sogar unverschlüsselt. Wenn die CA dann ungewollt noch produktiv genutzt wird, ist das Sicherheitsdrama perfekt. Dennoch muss man sich für Ad-hoc-CAs dieser Art kein Hardware Security Module (HSM) anschaffen.

Die Lösung: Die Root-CA speichert ihren privaten Schlüssel im Trusted Platform Module (TPM). Dank der Anforderungen von Windows 11 besitzen nahezu alle neuen PCs einen solchen Sicherheitschip, der entweder auf dem Mainboard sitzt oder in die CPU integriert ist. Somit kann ein herkömmlicher Windows-Rechner zur CA werden und mit dem TPM Kryptoaufgaben erledigen.

Auf der Softwareseite kommt XCA hinzu (Dokumentation). Die grafische Anwendung beherrscht das Tagesgeschäft einer CA: Zertifikatsanträge annehmen und Zertifikate ausstellen. Sie ist kostenfrei und erfordert keine Kommandozeilenakrobatik. Die TPM-CA erreicht bestenfalls das Sicherheitsniveau eines Selbsthosters und will auch nicht mit professioneller Software konkurrieren. Sie lässt sich aber einfach bedienen, ist günstig und bringt ein Plus an Sicherheit.

Das war die Leseprobe unseres heise-Plus-Artikels „Security: Die eigene CA mit TPM-Chip einrichten“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Die Entwickler der Rust Coreutils haben Version 0.7 veröffentlicht. Der Fokus der Aktualisierung liegt auf Performance-Optimierungen, die sich über Dutzende Utilities erstrecken. Zu den Verbesserungen gehören schnellere Hash Maps, neue ASCII-Schnellpfade und reduzierte malloc-Aufrufe bei verschiedenen Befehlen. Zusätzlich haben die Entwickler Build-Fixes für NetBSD und PowerPC integriert.

Ein weiterer Schwerpunkt der Version liegt auf der Reduzierung von unsicherem Code. Konkret haben die Entwickler unsicheren libc-Code durch sichere Rust-Abstraktionen ersetzt, was die Sicherheit der Implementierung weiter erhöht. Dies knüpft an die Arbeit der Vorgängerversion 0.6 an, die bereits Buffer Overflows und Use-After-Free-Fehler durch Rusts Ownership-System eliminiert hatte. Version 0.7 eliminiert zudem Panics beim Schreiben nach /dev/full in über 20 Utilities wie echo, date und sort, was die Produktionsreife weiter erhöht.

GNU-Kompatibilität sinkt prozentual

Bei der Kompatibilität zur GNU Test Suite verzeichnet Version 0.7 einen scheinbaren Rückschritt: Die Quote sank von 96,3 Prozent in Version 0.6 auf 94,6 Prozent. Dieser Rückgang erklärt sich jedoch durch die Integration von 19 neuen Tests aus GNU Coreutils 9.10. Die absolute Anzahl bestandener Tests ist trotz der gesunkenen Prozentquote gestiegen. Zudem sind sechs weitere Tests übersprungen worden und sieben zusätzliche Tests fehlgeschlagen.

Der prozentuale Rückgang ist normal angesichts der sich entwickelnden Referenz-Test-Suite. Die neuen Tests aus GNU Coreutils 9.10 sind schwieriger zu bestehen als die bisherigen, weshalb die Quote sinkt, während die Implementierung gleichzeitig absolut gesehen mehr Tests besteht. Trotzdem strebt das Rust-Coreutils-Projekt weiterhin eine vollständige GNU-Kompatibilität von 100 Prozent an. Dabei arbeiten die Entwickler eng mit dem GNU-Projekt zusammen und haben zahlreiche Patches zu den GNU Coreutils beigesteuert, was beide Projekte stärkt.

Performance-Verbesserungen im Detail

Die Performance-Optimierungen in Version 0.7 sollten für Systemadministratoren und Endnutzer besonders bei Batch-Operationen mit vielen Dateien, der Verarbeitung großer Datenmengen und wiederholten Aufrufen von Utilities in Skripten messbar sein. Konkret bringen zum Beispiel unexpand 14 Prozent Geschwindigkeitsgewinn, du zwischen drei und sechs Prozent und shuf rund vier Prozent. Die schnelleren Hash Maps beschleunigen Operationen, die auf Schlüssel-Wert-Zuordnungen angewiesen sind. Die neuen ASCII-Schnellpfade optimieren die Verarbeitung von ASCII-Zeichen, die in vielen Anwendungsfällen den Großteil der verarbeiteten Daten ausmachen.

Reduzierte malloc-Aufrufe führen zu weniger Speicher-Fragmentierung und potenziell kürzeren CPU-Aktivitätszeiten, was sich positiv auf die Gesamtperformance auswirkt. Diese Optimierungen reihen sich in eine kontinuierliche Entwicklung ein: Bereits in Version 0.6 wurden die Base-Encoding-Utilities wie base32 und base64 beschleunigt, und Version 0.4 brachte spezifische Optimierungen für factor, cksum, tsort und mkdir.

Die Release Notes zu Version 0.7 stehen auf GitHub zur Verfügung.

(fo)