OSS: Frei­willigen­arbeit und Wohl­wollen reicht nicht

14. Januar 2022, 14:06
  • security
  • open source
  • vendor
  • channel
image

Ein Treffen der US-Regierung mit Tech-Konzernen drehte sich um die Frage, wie die Security von Open-Source-Software verbessert werden kann.

Im Kontext der Log4j-Sicherheitslücken haben Security-Spezialisten und -Berater in der USA ein Treffen zwischen dem Weissen Haus und Tech-Konzernen organisiert. Eingeladen waren Vertreter von Amazon, Apple, Google, IBM, Red Hat und Microsoft sowie von Apache, der Linux Foundation, der Software Foundation oder Github.
Nachdem die Lücke in der beliebten Java-Library Log4j bekannt wurde, flammte auch die Diskussion über die Security in Open-Source-Software und ganz generell in der Software-Lieferkette auf. Log4j ist eines von tausenden von Open-Source-Projekten, über die selten jemand spricht, aber die sehr wichtig sind und von unzähligen Unternehmen verwendet werden.

Transparenz heisst nicht zwingend auch sicher

"Zu lange hat sich die Software-Gemeinschaft mit der Annahme getröstet, dass Open-Source-Software aufgrund ihrer Transparenz und der Annahme, dass 'viele Augen' über sie wachen, um Probleme zu erkennen und zu lösen, generell sicher ist", schreibt Googles Chefjurist Kent Walker in einem Blogeintrag.
Log4j ist eines von vielen Projekten, die von Freiwilligen gestartet und unterhalten werden. Der grösste Teil der Arbeit zur Aufrechterhaltung und Verbesserung der OSS-Produkte, einschliesslich der Security, werde ad hoc und auf freiwilliger Basis geleistet, betont Walker.
Angesichts der Bedeutung der digitalen Infrastruktur sei es an der Zeit, diese gleich zu betrachten wie die physische Infrastruktur. Da OSS als "Bindegewebe der Onlinewelt" nicht wegzudenken sei, "verdient sie die gleiche Aufmerksamkeit und Finanzierung, die wir unseren Strassen und Brücken widmen", so der Google-Manager.

Diskussion im Weissen Haus

In einer Mitteilung schreibt das Weisse Haus, man habe darüber diskutiert, wie die Security von OSS verbessert und gleichzeitig die Open-Source-Gemeinschaft wirksam unterstützt werden könne. Im Kern sei es bei der Diskussion darum gegangen, wie Sicherheitsmängel in Code und OS-Paketen vermieden werden und wie Mängel schneller gefunden und behoben werden können. Auch brauche man neue Lösungen, um die Verteilung und Implementierung von Korrekturen zu beschleunigen, so die Mitteilung.
Ansätze für mögliche Lösungen beinhalten Minimalstandards sowie die bessere Integration von Sicherheitsfunktionen in Entwicklungswerkzeuge. Code Signing und stärkere digitale Identitäten könnten zur Security bei Erstellung, Lagerung und Verteilung von Code beitragen.

Wichtige OS-Projekte identifizieren und unterstützen

Weiteres Ziel müsse sein, dass wichtige OSS-Projekte nachhaltig gepflegt werden können, schreibt die US-Regierung. Dazu müssten diese Projekte erkannt und priorisiert werden.
Google schlägt hierzu eine öffentlich-private Partnerschaft vor. Diese soll kritische Projekte identifizieren, damit sie genügend Ressourcen für die Verbesserung der Security erhalten. "Längerfristig brauchen wir neue Methoden zur Identifizierung von Software, die ein systemisches Risiko darstellen könnte", schreibt der Google-Jurist Walker.
Weiter schlägt Google eine Art Marktplatz vor, auf dem Freiwillige aus Unternehmen jene Projekte finden sollen, die am meisten Unterstützung benötigen. Google sei bereit, Ressourcen für dieses Vorhaben bereitzustellen.
Seine Idee klinge wie eine der zahlreichen Open-Source-Bemühungen um Nachhaltigkeit, nur ohne die spezifische finanzielle Komponente von Github Sponsors oder Patreon, merkt 'The Register' an.
Auch mit den anderen Themen und Lösungsansätzen beschäftigt sich die Branche. Github etwa weist auf Tools hin, die man Entwicklern zur Verfügung stellt, damit diese Sicherheitsprobleme im Code und den Abhängigkeiten rasch beheben können. Die Open Source Security Foundation (OpenSSL) beschäftigt sich mit dem Thema der Security-Standards. Daneben gibt es Frameworks und Best Practices für den Umgang mit der Software-Supply-Chain.

Es gibt nicht "die Lösung"

"Wenn es der US-Regierung um die Sicherheit von Open Source geht, dann muss sie die Open-Source-Gemeinschaft ernsthafter unterstützen", zitiert 'The Register' Katie Moussouris, Gründerin eines Security-Beraters. Es genüge nicht, sich auf die Arbeit Freiwilliger und das Wohlwollen der grossen Player zu verlassen.
Der Weg nach vorne erfordere die Zusammenarbeit der Unternehmen und Organisationen, schreibt die Apache Software Foundation, die auch Log4j beaufsichtigt, in einem Statement. Denn es gebe nicht einfach ein Patentrezept für die Lösung der Sicherheitsprobleme in der Open-Source-Lieferkette. 

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Nach Citrix-Tibco-Merger: Netscaler wird wieder unabhängiger

Das Gleiche scheint auch für Jaspersoft, Ibi und Sharefile zu gelten.

publiziert am 4.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022