• IT-Karriere:
  • Services:

OpenSSF: Google erstellt Rangfolge kritischer Open-Source-Projekte

Kritische Abhängigkeiten von Open-Source-Software sind oft zu wenig bekannt und schwierig zu erkennen. Google will Abhilfe schaffen.

Artikel veröffentlicht am ,
Das Maskottchen der OpenSSF ist eine Gans.
Das Maskottchen der OpenSSF ist eine Gans. (Bild: Pixabay)

Immer wieder fallen insbesondere kleinere Open-Source-Projekte dadurch auf, dass diese zwar extrem häufig genutzt werden und einen integralen Bestandteil der Infrastruktur darstellen, die Projekte selbst aber schlecht ausgestattet sind oder nur unzureichend betreut werden. Kritisch wird dies vor allem bei Sicherheitslücken. Mit einer selbst geschaffenen Metrik will Google dabei helfen, eben solche Projekte aufzuspüren.

Stellenmarkt
  1. GKV-Spitzenverband, Berlin
  2. Medion AG, Essen

Die Arbeiten von Google sind Teil der in diesem Jahr gegründeten Open Source Security Foundation (OpenSSF). In der Ankündigung heißt es: "Die Kritikalität eines Open Source-Projekts ist schwer zu definieren. Was für einen Konsumenten von Open-Source-Software eine kritische Abhängigkeit sein könnte, kann für einen anderen Konsumenten gänzlich fehlen." Um Diskussionen zu vermeiden, definiert Google die Kritikalität einfach als Einfluss und Wichtigkeit eines Projekts.

Langfristiges Ziel der OpenSSF ist es, kritische Open-Source-Software dauerhaft mit den finanziellen Mitteln auszustatten, die für die Pflege notwendig sind. Um diese Software aufzuspüren, soll nun eben die von Google vorgestellte Metrik helfen, die Software entsprechend einsortiert. Der dazugehörige Wert, der Criticality Score, wird dabei vollständig automatisiert erstellt und bewertet Projekte anhand bestimmter Eigenheiten.

Dazu gehören die Anzahl der regelmäßig Beitragenden, die Zahl der beteiligten Organisationen oder Unternehmen oder auch die Einbeziehung der Community. Das Werkzeug selbst kann auch um eigene Regeln erweitert werden. Der Quellcode dazu steht auf Github bereit. Einige der mit dem Werkzeug bereits erstellten Daten stellt Google öffentlich bereit. Die kritischsten C-Projekte sind demnach Git, der Linux-Kernel, PHP, OpenSSL, Systemd und Curl. Ähnliche Aufzählungen hat Google auch für C++, Java, Javascript, Python und Rust erstellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

AynRandHatteRecht 11. Dez 2020 / Themenstart

Oder einen Schritt weitergehen und die Abhängigkeiten auflösen. So wie Google es mit Go...

Kommentieren


Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing

Star Wars und Star Trek: Was The Mandalorian besser macht als Discovery
Star Wars und Star Trek
Was The Mandalorian besser macht als Discovery

Unabhängig von der Story und davon, ob man Star Trek oder Star Wars lieber mag - nach den jüngsten Staffeln wird deutlich: Discovery kann handwerklich nicht mit The Mandalorian mithalten. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch

  1. Lucasfilm Games Ubisoft entwickelt Open World mit Star Wars
  2. Krieg der Sterne Star Wars spielt unter dem Logo von Lucasfilm Games
  3. Star Wars chronologisch Über 150 Stunden Krieg der Sterne

USA: Die falsche Toleranz im Silicon Valley muss endlich aufhören
USA
Die falsche Toleranz im Silicon Valley muss endlich aufhören

Github wirft einen Juden raus, der vor Nazis warnt, weil das den Betrieb stört. Das ist moralisch verkommen - wie üblich im Silicon Valley.
Ein IMHO von Sebastian Grüner

  1. CES 2021 So geht eine Messe in Pandemie-Zeiten
  2. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona
  3. CD Projekt Red Crunch trifft auf Cyberpunk 2077

    •  /