OpenSSF: Google erstellt Rangfolge kritischer Open-Source-Projekte

Kritische Abhängigkeiten von Open-Source-Software sind oft zu wenig bekannt und schwierig zu erkennen. Google will Abhilfe schaffen.

Artikel veröffentlicht am ,
Das Maskottchen der OpenSSF ist eine Gans.
Das Maskottchen der OpenSSF ist eine Gans. (Bild: Pixabay)

Immer wieder fallen insbesondere kleinere Open-Source-Projekte dadurch auf, dass diese zwar extrem häufig genutzt werden und einen integralen Bestandteil der Infrastruktur darstellen, die Projekte selbst aber schlecht ausgestattet sind oder nur unzureichend betreut werden. Kritisch wird dies vor allem bei Sicherheitslücken. Mit einer selbst geschaffenen Metrik will Google dabei helfen, eben solche Projekte aufzuspüren.

Stellenmarkt
  1. Softwareentwickler Functional Safety Embedded Systeme / Controller (w/m/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Sachbearbeiterin / Sachbearbeiter (w/m/d) IT-Produktbetreuung und Entwicklung mit dem Schwerpunkt ... (m/w/d)
    Bundesanstalt für Immobilienaufgaben, Potsdam
Detailsuche

Die Arbeiten von Google sind Teil der in diesem Jahr gegründeten Open Source Security Foundation (OpenSSF). In der Ankündigung heißt es: "Die Kritikalität eines Open Source-Projekts ist schwer zu definieren. Was für einen Konsumenten von Open-Source-Software eine kritische Abhängigkeit sein könnte, kann für einen anderen Konsumenten gänzlich fehlen." Um Diskussionen zu vermeiden, definiert Google die Kritikalität einfach als Einfluss und Wichtigkeit eines Projekts.

Langfristiges Ziel der OpenSSF ist es, kritische Open-Source-Software dauerhaft mit den finanziellen Mitteln auszustatten, die für die Pflege notwendig sind. Um diese Software aufzuspüren, soll nun eben die von Google vorgestellte Metrik helfen, die Software entsprechend einsortiert. Der dazugehörige Wert, der Criticality Score, wird dabei vollständig automatisiert erstellt und bewertet Projekte anhand bestimmter Eigenheiten.

Dazu gehören die Anzahl der regelmäßig Beitragenden, die Zahl der beteiligten Organisationen oder Unternehmen oder auch die Einbeziehung der Community. Das Werkzeug selbst kann auch um eigene Regeln erweitert werden. Der Quellcode dazu steht auf Github bereit. Einige der mit dem Werkzeug bereits erstellten Daten stellt Google öffentlich bereit. Die kritischsten C-Projekte sind demnach Git, der Linux-Kernel, PHP, OpenSSL, Systemd und Curl. Ähnliche Aufzählungen hat Google auch für C++, Java, Javascript, Python und Rust erstellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt

Während der ADAC seine Kunden bereits informiert hat, schweigt Amazon Deutschland noch zum Ende der Kooperation mit der Landesbank Berlin.

Kooperation: Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
Artikel
  1. Newton-Messagepad-Nachfolger: Apples Videopad-Prototyp wird versteigert
    Newton-Messagepad-Nachfolger
    Apples Videopad-Prototyp wird versteigert

    Apples Videopad ist nie in den Verkauf gekommen: Ein Prototyp des Nachfolgers vom Newton Messagepad wird bald versteigert.

  2. Linux: Vom einfachen Speicherfehler zur Systemübernahme
    Linux
    Vom einfachen Speicherfehler zur Systemübernahme

    Ein häufig vorkommender Fehler in C-Code hat einen Google-Entwickler motiviert, über Gegenmaßnahmen nachzudenken.

  3. Nintendo Switch: Deutscher Jugendschutz sperrt Dying Light in Australien
    Nintendo Switch
    Deutscher Jugendschutz sperrt Dying Light in Australien

    Das frisch für die Switch veröffentlichte Dying Light ist in Europa und in Australien nicht erhältlich - wegen des deutschen Jugendschutzes.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /