• IT-Karriere:
  • Services:

OpenSSF: Google will strikte Regeln für Arbeit an Open Source

Geht es nach Google, gibt es künftig industrieweit Vorgaben zu Arbeit an Open-Source-Software. Das dürfte nicht allen Maintainern gefallen.

Artikel veröffentlicht am ,
Das Maskottchen der OpenSSF ist eine Gans. In der OpenSSF werden einige Ideen Googles bereits praktisch erarbeitet.
Das Maskottchen der OpenSSF ist eine Gans. In der OpenSSF werden einige Ideen Googles bereits praktisch erarbeitet. (Bild: Pixabay)

In einem Post in Googles Security-Blog zeigen Verantwortliche des Unternehmens auf, was geschehen müsse, damit in der Industrie genutzte Open-Source-Software sicherer werde. Eine Forderung, die dabei kontrovers sein dürfte, sind strikte Regeln zur Arbeit an und mit Open-Source-Software, die für alle Betreuer und Beitragenden der Projekte gelten sollten - auch außerhalb von Google.

Stellenmarkt
  1. GK Software SE, Hamburg, St. Ingbert
  2. Interone GmbH, München

Langfristiges Ziel der Google-Initiative ist es, sogenannte Supply-Chain-Angriffe zu verhindern. Bei moderner Software ist mit dieser Lieferkette die Nutzung einer Vielzahl unterschiedlicher Open-Source-Projekte als Abhängigkeit der eigenen Software gemeint. Ein erstes großes Umdenken zur Sicherheit und Ausstattung dieser begann in der IT-Industrie mit dem Heartbleed-Bug in OpenSSL, der weitreichende Auswirkungen hatte.

Inzwischen versuchen Google und weitere Unternehmen, solche Überlegungen zur Sicherheit der Abhängigkeiten innerhalb der OpenSSF-Initiative zu koordinieren und zu vereinheitlichen. Eine der wohl wichtigsten Arbeiten dabei ist es, die als besonders kritisch betrachtete Software überhaupt zu erkennen, woran Google ebenfalls arbeitet.

Viele Lasten und Forderungen an die Entwicklung

Die von Google nun veröffentlichten Vorschläge sehen unter anderem vor, dass Code nicht mehr von Einzelpersonen verändert werden darf, sondern immer eine Code-Review stattfinden muss, und Änderungen von zwei unabhängigen Parteien bestätigt werden müssen. Das wird bereits in vielen Projekten angestrebt und etwa in dem auf Sicherheit fokussierten OpenBSD umgesetzt.

Darüber hinaus will Google, dass Betreuer von Code nicht mehr anonym agieren und zwingend bekannt sein müssen. Ebenso fordert das Team eine starke Authentifizierung von Beitragenden sowie eine Art Identitätsverwaltung, die es ermöglicht, Beitragende über viele verschiedene Projekte und Systeme hinweg zu verifizieren. Auch Wechsel bei Betreuern sollen schnell und einfach erkannt und verfolgt werden können.

Die Ideen Googles lassen sich leicht im Kontext der Software-Industrie verstehen, in dem Unternehmen solche Regeln intern vergleichsweise einfach einfordern und umsetzen können. Bei der Vielfalt und schieren Fülle an Open-Source-Software, die weltweit produktiv eingesetzt wird, ist das wohl aber schwieriger. Wie Google selbst schreibt, gehen die Beteiligten davon aus, dass die geforderten Regeln als Belastung wahrgenommen werden könnten und "daher auf Widerstand stoßen, aber wir glauben, dass die zusätzlichen Einschränkungen für die Sicherheit von grundlegender Bedeutung sind". Darüber hinaus formulierte Google zahlreiche weitere Ideen und Forderungen, die das Team als Teil der OpenSSF voranbringen will.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. gratis (bis 10. März, 10 Uhr)
  2. mit 299€ neuer Bestpreis auf Geizhals
  3. (u. a. Anno 2205 für 8,88€, Loop Hero für 12,74€, Lovecraft's Untold Stories für 3,50€)
  4. (u. a. Turtle Beach Stealth 600 Gen 2 Gaming-Headset für 84,99€)

schily 07. Feb 2021 / Themenstart

Ich kenne David Korn und Glenn Fowler seit 2005 persönlich, seit ich sie in diversen...

schnedan 07. Feb 2021 / Themenstart

für wichtige SW gepflegte, geprüfte und gereviewte Forks verwalten würde - warum nicht...

FreiGeistler 05. Feb 2021 / Themenstart

Meine ich auch. Wer bei Hobbyprojekten mühsame Prozesse fordert, muss diese entlöhnen...

Kommentieren


Folgen Sie uns
       


Knights of the Old Republic (2003) - Golem retro_

Diverse Auszeichnungen zum Spiel des Jahres, hohe Verkaufszahlen und Begeisterung nicht nur unter reinen Star-Wars-Anhängern - wir spielen Kotor im Golem retro_.

Knights of the Old Republic (2003) - Golem retro_ Video aufrufen
    •  /