OpenSSF: Google will strikte Regeln für Arbeit an Open Source

Geht es nach Google, gibt es künftig industrieweit Vorgaben zu Arbeit an Open-Source-Software. Das dürfte nicht allen Maintainern gefallen.

Artikel veröffentlicht am ,
Das Maskottchen der OpenSSF ist eine Gans. In der OpenSSF werden einige Ideen Googles bereits praktisch erarbeitet.
Das Maskottchen der OpenSSF ist eine Gans. In der OpenSSF werden einige Ideen Googles bereits praktisch erarbeitet. (Bild: Pixabay)

In einem Post in Googles Security-Blog zeigen Verantwortliche des Unternehmens auf, was geschehen müsse, damit in der Industrie genutzte Open-Source-Software sicherer werde. Eine Forderung, die dabei kontrovers sein dürfte, sind strikte Regeln zur Arbeit an und mit Open-Source-Software, die für alle Betreuer und Beitragenden der Projekte gelten sollten - auch außerhalb von Google.

Stellenmarkt
  1. Space Application Test-System Entwickler (m/f/d)
    Astos Solutions GmbH, Stuttgart
  2. Softwareentwickler (m/w/d) Automatisierungstechnik
    Dürr Systems AG, Goldkronach
Detailsuche

Langfristiges Ziel der Google-Initiative ist es, sogenannte Supply-Chain-Angriffe zu verhindern. Bei moderner Software ist mit dieser Lieferkette die Nutzung einer Vielzahl unterschiedlicher Open-Source-Projekte als Abhängigkeit der eigenen Software gemeint. Ein erstes großes Umdenken zur Sicherheit und Ausstattung dieser begann in der IT-Industrie mit dem Heartbleed-Bug in OpenSSL, der weitreichende Auswirkungen hatte.

Inzwischen versuchen Google und weitere Unternehmen, solche Überlegungen zur Sicherheit der Abhängigkeiten innerhalb der OpenSSF-Initiative zu koordinieren und zu vereinheitlichen. Eine der wohl wichtigsten Arbeiten dabei ist es, die als besonders kritisch betrachtete Software überhaupt zu erkennen, woran Google ebenfalls arbeitet.

Viele Lasten und Forderungen an die Entwicklung

Die von Google nun veröffentlichten Vorschläge sehen unter anderem vor, dass Code nicht mehr von Einzelpersonen verändert werden darf, sondern immer eine Code-Review stattfinden muss, und Änderungen von zwei unabhängigen Parteien bestätigt werden müssen. Das wird bereits in vielen Projekten angestrebt und etwa in dem auf Sicherheit fokussierten OpenBSD umgesetzt.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Docker & Containers - From Zero to Hero
    27.-29. Oktober 2021, online
  3. PostgreSQL Fundamentals
    6.-9. Dezember 2021, online
Weitere IT-Trainings

Darüber hinaus will Google, dass Betreuer von Code nicht mehr anonym agieren und zwingend bekannt sein müssen. Ebenso fordert das Team eine starke Authentifizierung von Beitragenden sowie eine Art Identitätsverwaltung, die es ermöglicht, Beitragende über viele verschiedene Projekte und Systeme hinweg zu verifizieren. Auch Wechsel bei Betreuern sollen schnell und einfach erkannt und verfolgt werden können.

Die Ideen Googles lassen sich leicht im Kontext der Software-Industrie verstehen, in dem Unternehmen solche Regeln intern vergleichsweise einfach einfordern und umsetzen können. Bei der Vielfalt und schieren Fülle an Open-Source-Software, die weltweit produktiv eingesetzt wird, ist das wohl aber schwieriger. Wie Google selbst schreibt, gehen die Beteiligten davon aus, dass die geforderten Regeln als Belastung wahrgenommen werden könnten und "daher auf Widerstand stoßen, aber wir glauben, dass die zusätzlichen Einschränkungen für die Sicherheit von grundlegender Bedeutung sind". Darüber hinaus formulierte Google zahlreiche weitere Ideen und Forderungen, die das Team als Teil der OpenSSF voranbringen will.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


schily 07. Feb 2021

Ich kenne David Korn und Glenn Fowler seit 2005 persönlich, seit ich sie in diversen...

schnedan 07. Feb 2021

für wichtige SW gepflegte, geprüfte und gereviewte Forks verwalten würde - warum nicht...

FreiGeistler 05. Feb 2021

Meine ich auch. Wer bei Hobbyprojekten mühsame Prozesse fordert, muss diese entlöhnen...



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  2. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

  3. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /