Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Nach Log4J: Google will zusammen mit Regierungen Open Source absichern

Seit langem sucht Google nach Wegen, Open-Source-Software besser abzusichern. Nach der Log4J-Lücke kommen nun auch Regierungen ins Spiel.
/ Sebastian Grüner
14 Kommentare News folgen (öffnet im neuen Fenster)
Google will eine Zusammenarbeit mit der Politik, um Software besser abzusichern. (Bild: Hannah McKay/File Photo/Reuters)
Google will eine Zusammenarbeit mit der Politik, um Software besser abzusichern. Bild: Hannah McKay/File Photo/Reuters

In einem eher ungewöhnlichen Schritt fordert der IT-Konzern Google die US-Regierung dazu auf, eine aktivere Rolle bei der Absicherung von Open-Source-Software einzunehmen. Das schreibt Kent Walker, President of Global Affairs und Chief Legal Officer bei Google und Alphabet, im Blog des Unternehmens(öffnet im neuen Fenster) . Vorausgegangen ist dem offenbar eine Art Sicherheitskonferenz mit der US-Regierung im Weißen Haus als Reaktion auf die gravierende Log4J-Lücke , die Ende vergangenen Jahres entdeckt worden ist.

Walker schreibt dazu: "Zu lange hat sich die Software-Community mit der Annahme getröstet, dass Open-Source-Software aufgrund ihrer Transparenz im Allgemeinen sicher ist, und der Annahme, dass 'viele Augen' darauf schauen, um Probleme zu erkennen und zu lösen. Aber während einige Projekte viele auf sie gerichtete Augen haben, haben andere wenige oder gar keine." So zeigte sich nun eben auch bei Log4J, dass der Code zwar weltweit in unzähligen Projekten Einsatz findet, aber nur von einigen wenigen Entwickler in ihrer Freizeit gepflegt wird.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Diese Erkenntnis dürfte für Google nichts Neues sein. Immerhin arbeitet das Unternehmen schon länger an verschiedenen Initiativen, um das Open-Source-Ökosystem besser abzusichern. So ist der Konzern etwa ein Gründungsmitglied der Open Source Security Foundation (OpenSSF) , die eine einheitliche und vor allem koordinierte Security-Praxis anstrebt. Im Rahmen dieser Arbeiten hat Google etwa bereits kritische Open-Source-Projekte identifiziert .

Marktplatz für Pflege

Genau in dieser Richtung will Google nun bestenfalls auch mit Regierungen zusammenarbeiten. "Wir brauchen eine öffentlich-private Partnerschaft, um eine Liste kritischer Open-Source-Projekte zu erstellen – wobei die Kritikalität auf der Grundlage des Einflusses und der Bedeutung eines Projekts bestimmt wird – um bei der Priorisierung und Zuweisung von Ressourcen für die wichtigsten Sicherheitsbewertungen und -verbesserungen zu helfen."

Anzeige

Hacking & Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Gebundene Ausgabe)

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Der Konzern hat auch schon klare Pläne, wie mit diesen Erkenntnissen letztlich umgegangen werden soll. Mit Bezug auf das Treffen im Weißen Haus heißt es: "Wir schlugen vor, eine Organisation zu gründen, die als Marktplatz für Open-Source-Pflege dient und Freiwillige aus Unternehmen mit den kritischen Projekten zusammenbringt, die am dringendsten Unterstützung benötigen. Google ist bereit, Ressourcen zu diesen Bemühungen beizutragen."

Zur Startseite 14 Kommentare

Relevante Themen

Verwaltung im WandelOpen SourcePolitikSecurityWissenGoogleDatensicherheitLog4j