OpenSSF: Google erstellt Rangfolge kritischer Open-Source-Projekte

Kritische Abhängigkeiten von Open-Source-Software sind oft zu wenig bekannt und schwierig zu erkennen. Google will Abhilfe schaffen.

Artikel veröffentlicht am ,
Das Maskottchen der OpenSSF ist eine Gans.
Das Maskottchen der OpenSSF ist eine Gans. (Bild: Pixabay)

Immer wieder fallen insbesondere kleinere Open-Source-Projekte dadurch auf, dass diese zwar extrem häufig genutzt werden und einen integralen Bestandteil der Infrastruktur darstellen, die Projekte selbst aber schlecht ausgestattet sind oder nur unzureichend betreut werden. Kritisch wird dies vor allem bei Sicherheitslücken. Mit einer selbst geschaffenen Metrik will Google dabei helfen, eben solche Projekte aufzuspüren.

Stellenmarkt
  1. Server- / Virtualisierungsadministrato- r/-in (m/w/d)
    Kreisausschuss Wetteraukreis, Friedberg
  2. Teamleiter (m/w/d) Bereich IT-Infrastructure & Security
    PÖSCHL TABAK GmbH & Co. KG, Geisenhausen
Detailsuche

Die Arbeiten von Google sind Teil der in diesem Jahr gegründeten Open Source Security Foundation (OpenSSF). In der Ankündigung heißt es: "Die Kritikalität eines Open Source-Projekts ist schwer zu definieren. Was für einen Konsumenten von Open-Source-Software eine kritische Abhängigkeit sein könnte, kann für einen anderen Konsumenten gänzlich fehlen." Um Diskussionen zu vermeiden, definiert Google die Kritikalität einfach als Einfluss und Wichtigkeit eines Projekts.

Langfristiges Ziel der OpenSSF ist es, kritische Open-Source-Software dauerhaft mit den finanziellen Mitteln auszustatten, die für die Pflege notwendig sind. Um diese Software aufzuspüren, soll nun eben die von Google vorgestellte Metrik helfen, die Software entsprechend einsortiert. Der dazugehörige Wert, der Criticality Score, wird dabei vollständig automatisiert erstellt und bewertet Projekte anhand bestimmter Eigenheiten.

Dazu gehören die Anzahl der regelmäßig Beitragenden, die Zahl der beteiligten Organisationen oder Unternehmen oder auch die Einbeziehung der Community. Das Werkzeug selbst kann auch um eigene Regeln erweitert werden. Der Quellcode dazu steht auf Github bereit. Einige der mit dem Werkzeug bereits erstellten Daten stellt Google öffentlich bereit. Die kritischsten C-Projekte sind demnach Git, der Linux-Kernel, PHP, OpenSSL, Systemd und Curl. Ähnliche Aufzählungen hat Google auch für C++, Java, Javascript, Python und Rust erstellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Meta stoppt ausgefeilte russische Desinformationskampagne

Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
Artikel
  1. Polizei NRW: Palantir-Software verteuert sich drastisch
    Polizei NRW
    Palantir-Software verteuert sich drastisch

    Nordrhein-Westfalen muss deutlich mehr Geld für eine Datenbanksoftware ausgeben. Doch es sollen damit schon Straftaten verhindert worden sein.

  2. Core-i-13000: Intel präsentiert Raptor Lake mit bis zu 5,8 GHz
    Core-i-13000
    Intel präsentiert Raptor Lake mit bis zu 5,8 GHz

    Auf der Innovation hat Intel die 13. Core Generation vorgestellt. Kernzahl, Takt und Effizienz sollen deutlich steigen.

  3. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD Ryzen 7000 jetzt bestellbar • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /