OpenSSF: Google erstellt Rangfolge kritischer Open-Source-Projekte

Immer wieder fallen insbesondere kleinere Open-Source-Projekte dadurch auf, dass diese zwar extrem häufig genutzt werden und einen integralen Bestandteil der Infrastruktur darstellen, die Projekte selbst aber schlecht ausgestattet sind oder nur unzureichend betreut werden. Kritisch wird dies vor allem bei Sicherheitslücken. Mit einer selbst geschaffenen Metrik will Google dabei helfen, eben solche Projekte aufzuspüren.

Stellenmarkt

1. GKV-Spitzenverband, Berlin
2. Medion AG, Essen

Die Arbeiten von Google sind Teil der in diesem Jahr gegründeten Open Source Security Foundation (OpenSSF). In der Ankündigung heißt es: "Die Kritikalität eines Open Source-Projekts ist schwer zu definieren. Was für einen Konsumenten von Open-Source-Software eine kritische Abhängigkeit sein könnte, kann für einen anderen Konsumenten gänzlich fehlen." Um Diskussionen zu vermeiden, definiert Google die Kritikalität einfach als Einfluss und Wichtigkeit eines Projekts.

Langfristiges Ziel der OpenSSF ist es, kritische Open-Source-Software dauerhaft mit den finanziellen Mitteln auszustatten, die für die Pflege notwendig sind. Um diese Software aufzuspüren, soll nun eben die von Google vorgestellte Metrik helfen, die Software entsprechend einsortiert. Der dazugehörige Wert, der Criticality Score, wird dabei vollständig automatisiert erstellt und bewertet Projekte anhand bestimmter Eigenheiten.

Dazu gehören die Anzahl der regelmäßig Beitragenden, die Zahl der beteiligten Organisationen oder Unternehmen oder auch die Einbeziehung der Community. Das Werkzeug selbst kann auch um eigene Regeln erweitert werden. Der Quellcode dazu steht auf Github bereit. Einige der mit dem Werkzeug bereits erstellten Daten stellt Google öffentlich bereit. Die kritischsten C-Projekte sind demnach Git, der Linux-Kernel, PHP, OpenSSL, Systemd und Curl. Ähnliche Aufzählungen hat Google auch für C++, Java, Javascript, Python und Rust erstellt.