• IT-Karriere:
  • Services:

OpenSSF: Google erstellt Rangfolge kritischer Open-Source-Projekte

Kritische Abhängigkeiten von Open-Source-Software sind oft zu wenig bekannt und schwierig zu erkennen. Google will Abhilfe schaffen.

Artikel veröffentlicht am ,
Das Maskottchen der OpenSSF ist eine Gans.
Das Maskottchen der OpenSSF ist eine Gans. (Bild: Pixabay)

Immer wieder fallen insbesondere kleinere Open-Source-Projekte dadurch auf, dass diese zwar extrem häufig genutzt werden und einen integralen Bestandteil der Infrastruktur darstellen, die Projekte selbst aber schlecht ausgestattet sind oder nur unzureichend betreut werden. Kritisch wird dies vor allem bei Sicherheitslücken. Mit einer selbst geschaffenen Metrik will Google dabei helfen, eben solche Projekte aufzuspüren.

Stellenmarkt
  1. Jedox AG, Freiburg im Breisgau
  2. Versorgungseinrichtung der Bezirksärztekammer Koblenz, Koblenz

Die Arbeiten von Google sind Teil der in diesem Jahr gegründeten Open Source Security Foundation (OpenSSF). In der Ankündigung heißt es: "Die Kritikalität eines Open Source-Projekts ist schwer zu definieren. Was für einen Konsumenten von Open-Source-Software eine kritische Abhängigkeit sein könnte, kann für einen anderen Konsumenten gänzlich fehlen." Um Diskussionen zu vermeiden, definiert Google die Kritikalität einfach als Einfluss und Wichtigkeit eines Projekts.

Langfristiges Ziel der OpenSSF ist es, kritische Open-Source-Software dauerhaft mit den finanziellen Mitteln auszustatten, die für die Pflege notwendig sind. Um diese Software aufzuspüren, soll nun eben die von Google vorgestellte Metrik helfen, die Software entsprechend einsortiert. Der dazugehörige Wert, der Criticality Score, wird dabei vollständig automatisiert erstellt und bewertet Projekte anhand bestimmter Eigenheiten.

Dazu gehören die Anzahl der regelmäßig Beitragenden, die Zahl der beteiligten Organisationen oder Unternehmen oder auch die Einbeziehung der Community. Das Werkzeug selbst kann auch um eigene Regeln erweitert werden. Der Quellcode dazu steht auf Github bereit. Einige der mit dem Werkzeug bereits erstellten Daten stellt Google öffentlich bereit. Die kritischsten C-Projekte sind demnach Git, der Linux-Kernel, PHP, OpenSSL, Systemd und Curl. Ähnliche Aufzählungen hat Google auch für C++, Java, Javascript, Python und Rust erstellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (AMD Ryzen 9 5950X + Radeon RX 6900 XT)
  2. (u. a. TU7199 58 Zoll für 559€, Q80T QLED 49 Zoll für 859€, TU7199 75 Zoll für 899€, Q60T...
  3. (u. a. Konstruktionsspielzeug von LEGO)
  4. (u. a. MSI GeForce RTX 3060 VENTUS 3X OC 12G für 589€)

AynRandHatteRecht 11. Dez 2020

Oder einen Schritt weitergehen und die Abhängigkeiten auflösen. So wie Google es mit Go...


Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
    •  /