Kommentar:Seit Jahren versuchen wir, die Sicherheit auf Unternehmens- oder Organisationsebene anzugehen. Das neue Alpha-Omega-Projekt scheint einen wirklich branchenweiten Ansatz zu verfolgen, und das ist vielversprechend.
Sicherheit war schon immer eine unsexy Investition, die im Nachhinein eher Sinn macht als in der Planung. In jüngerer Zeit haben Unternehmen und Open-Source-Projekte begonnen, Sicherheit zu einer Priorität zu machen, da Sicherheitsverletzungen eher zur täglichen Norm als zu einer gelegentlichen Ausnahme geworden sind, obwohl sie in unseren Softwareentwicklungsprozessen wohl immer noch fehlt.
Sicherheitshinweise unbedingt lesen
Das Problem bei diesem Ansatz ist, dass er atomistisch, fragmentiert bleibt. Wie in einem kürzlich erschienenen ZDNet-Artikel festgestellt wurde:„Der Sicherheitszustand ist in der gesamten Branche sehr uneinheitlich, mit ziemlich guter Sicherheit bei einigen der Top-Anbieter, aber der überwiegenden Mehrheit … fehlt es an grundlegenden Sicherheitsinvestitionen.“ Das verfehlt den Punkt. Sicherheit ist nichts, was ein Unternehmen oder Projekt alleine leisten kann. Es ist von Natur aus eine Gemeinschaftsangelegenheit.
Aus diesem Grund finde ich einige aktuelle Nachrichten von der Linux Foundation (LF) ermutigend … gerade weil es nicht um die Linux Foundation geht. Oder nicht ausschließlich, das heißt.
Die Nachrichten hinter den Nachrichten
Zwei Dinge wurden angekündigt. Erstens hat die Open Source Security Foundation (OpenSSF), die unter der LF operiert, weitere 20 Mitglieder in ihre Liste aufgenommen. Was machen diese Mitglieder? Angeblich helfen sie „Sicherheitslücken in Open-Source-Software zu identifizieren und zu beheben und verbesserte Tools, Schulungen, Forschung, Best Practices und Praktiken zur Offenlegung von Schwachstellen zu entwickeln“. In der Praxis wollen viele dieser Unternehmen einfach ihre Sorge um Sicherheit mit Tugend signalisieren, aber solche Organisationen kommen auch wirklich gut.
Zum Beispiel würde ich annehmen, dass OpenSSF zwar jetzt insgesamt 60 Mitglieder zählt, die wahrscheinliche Realität jedoch so ist, dass einige Schlüsselmitglieder (in diesem Fall Google und Microsoft) Entwickler beauftragen werden, eng mit anderen OpenSSF-Mitgliedern zusammenzuarbeiten, um die Sicherheit in bestimmten Bereichen zu verbessern Open-Source-Projekte, um Szenarien wie die Log4j-Schwachstelle zu vermeiden.
Mit anderen Worten, einige Organisationen können es sich leisten, in Sicherheit zu investieren, und verfügen über die entsprechenden Expertenressourcen. Jeder profitiert davon, wenn er diese Informationen offen in einem Community-Forum teilt.
Der zweite Aspekt der LF-Ankündigung ist wohl noch interessanter. OpenSSF kündigte auch das Alpha-Omega-Projekt an, ein Projekt, das versucht, alle kritischen, grundlegenden Open-Source-Softwarebibliotheken und -pakete der Welt zu identifizieren, sie zu prüfen und sie dann bei Bedarf zu unterstützen. Aus der Veröffentlichung:
„Das Projekt verbessert die globale Sicherheit der OSS-Lieferkette, indem es mit Projektbetreuern zusammenarbeitet, um systematisch nach neuen, noch unentdeckten Schwachstellen im Open-Source-Code zu suchen und diese zu beheben. „Alpha“ wird mit den Betreuern der kritischsten Open-Source-Projekte zusammenarbeiten, um ihnen dabei zu helfen, Sicherheitsschwachstellen zu identifizieren und zu beheben und ihre Sicherheitslage zu verbessern. „Omega“ wird mindestens 10.000 weit verbreitete OSS-Projekte identifizieren, bei denen es automatisierte Sicherheitsanalysen, Bewertungen und Anleitungen zur Fehlerbehebung für ihre Open-Source-Betreuer-Communities anwenden kann.“
Diese Zählung von Open-Source-Projekten, die mit anfänglich 5 Millionen US-Dollar von Microsoft und Google finanziert und von der Harvard University und der LF unterstützt wird, hilft Unternehmen bei der Zusammenstellung ihrer Software-Stücklisten, wie es die US-Exekutivverordnung vorschreibt. Wie von den Volkszählungsautoren angemerkt, stellen die von ihnen zusammengestellten Listen „unsere beste Schätzung dar, welche FOSS-Pakete (freie und Open-Source-Software) von verschiedenen Anwendungen am häufigsten verwendet werden, angesichts der begrenzten Zeit und der Breite, aber nicht vollständig , Daten, die wir aggregiert haben.“
Es ist ein beeindruckender Beginn dringend benötigter Arbeit und konzentriert sich nicht auf die Softwareprojekte einer bestimmten Organisation.
Und das sind die wahren Neuigkeiten. Nicht die Exekutivverordnung. Nicht die Beteiligung von Google/Microsoft. Nicht einmal die LF, die branchenübergreifende Initiativen anpackt. Nein, die eigentliche Neuigkeit ist, dass die Sicherheit größer ist als jede Handelsorganisation wie die LF. Diese 10.000 Open-Source-Projekte, bei deren Katalogisierung die LF hilft? Die meisten befinden sich nicht im Zuständigkeitsbereich der LF. Oder Googles. Oder die von Microsoft. Oder [Name einer beliebigen Organisation einfügen].
Sicherheit betrifft alle, aber wir haben versucht, sie stückweise anzugehen. Aus einem Beitrag des Alpha-Omega-Projektleiters und Harvard-Professors Frank Nagle geht hervor, dass viel Arbeit erforderlich ist, um die Sicherheitslage von Open-Source-Software projektübergreifend zu verbessern. Beispielsweise gibt es kein einheitliches Benennungsschema für Open-Source-Projekte, was zu Verwirrung führt:„Es gibt keine zentrale Stelle zur Koordinierung der FOSS-Komponentennamen, und daher kann es mehrere Komponenten geben, die denselben Namen haben, aber nicht dieselbe Komponente sind.“ Wir haben gezeigt, dass Open-Source-Entwickler Probleme schnell beheben können, wenn sie auftauchen (vielleicht schneller als alle anderen), aber können wir uns zusammenschließen, um Projekte ähnlich zu strukturieren, sodass einige unnötige Sicherheitsprobleme vermieden werden können?
Alpha-Omega ist ein guter Anfang, um zu versuchen, solche Probleme branchenweit zu lösen, anstatt Stück für Stück. Nach Heartbleed hatten wir ähnliche Ambitionen, unsere Sicherheitsprobleme anzugehen. Hoffen wir, dass es diesmal wirklich anders ist … und gemeinschaftlich.
Offenlegung:Ich arbeite für MongoDB, aber die hier geäußerten Ansichten sind meine .
Quelllink