OpenSSF: Google will strikte Regeln für Arbeit an Open Source

Geht es nach Google, gibt es künftig industrieweit Vorgaben zu Arbeit an Open-Source-Software. Das dürfte nicht allen Maintainern gefallen.

Artikel veröffentlicht am ,
Das Maskottchen der OpenSSF ist eine Gans. In der OpenSSF werden einige Ideen Googles bereits praktisch erarbeitet.
Das Maskottchen der OpenSSF ist eine Gans. In der OpenSSF werden einige Ideen Googles bereits praktisch erarbeitet. (Bild: Pixabay)

In einem Post in Googles Security-Blog zeigen Verantwortliche des Unternehmens auf, was geschehen müsse, damit in der Industrie genutzte Open-Source-Software sicherer werde. Eine Forderung, die dabei kontrovers sein dürfte, sind strikte Regeln zur Arbeit an und mit Open-Source-Software, die für alle Betreuer und Beitragenden der Projekte gelten sollten - auch außerhalb von Google.

Stellenmarkt
  1. Network / Security Engineer (m/w/d)
    HCD Consulting GmbH, München
  2. IT-Administrator (m/w/d) mit Schwerpunkt VMware
    Bayerische Versorgungskammer, München (Home-Office möglich)
Detailsuche

Langfristiges Ziel der Google-Initiative ist es, sogenannte Supply-Chain-Angriffe zu verhindern. Bei moderner Software ist mit dieser Lieferkette die Nutzung einer Vielzahl unterschiedlicher Open-Source-Projekte als Abhängigkeit der eigenen Software gemeint. Ein erstes großes Umdenken zur Sicherheit und Ausstattung dieser begann in der IT-Industrie mit dem Heartbleed-Bug in OpenSSL, der weitreichende Auswirkungen hatte.

Inzwischen versuchen Google und weitere Unternehmen, solche Überlegungen zur Sicherheit der Abhängigkeiten innerhalb der OpenSSF-Initiative zu koordinieren und zu vereinheitlichen. Eine der wohl wichtigsten Arbeiten dabei ist es, die als besonders kritisch betrachtete Software überhaupt zu erkennen, woran Google ebenfalls arbeitet.

Viele Lasten und Forderungen an die Entwicklung

Die von Google nun veröffentlichten Vorschläge sehen unter anderem vor, dass Code nicht mehr von Einzelpersonen verändert werden darf, sondern immer eine Code-Review stattfinden muss, und Änderungen von zwei unabhängigen Parteien bestätigt werden müssen. Das wird bereits in vielen Projekten angestrebt und etwa in dem auf Sicherheit fokussierten OpenBSD umgesetzt.

Golem Karrierewelt
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    07./08.02.2023, Virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.10.2022, Virtuell
Weitere IT-Trainings

Darüber hinaus will Google, dass Betreuer von Code nicht mehr anonym agieren und zwingend bekannt sein müssen. Ebenso fordert das Team eine starke Authentifizierung von Beitragenden sowie eine Art Identitätsverwaltung, die es ermöglicht, Beitragende über viele verschiedene Projekte und Systeme hinweg zu verifizieren. Auch Wechsel bei Betreuern sollen schnell und einfach erkannt und verfolgt werden können.

Die Ideen Googles lassen sich leicht im Kontext der Software-Industrie verstehen, in dem Unternehmen solche Regeln intern vergleichsweise einfach einfordern und umsetzen können. Bei der Vielfalt und schieren Fülle an Open-Source-Software, die weltweit produktiv eingesetzt wird, ist das wohl aber schwieriger. Wie Google selbst schreibt, gehen die Beteiligten davon aus, dass die geforderten Regeln als Belastung wahrgenommen werden könnten und "daher auf Widerstand stoßen, aber wir glauben, dass die zusätzlichen Einschränkungen für die Sicherheit von grundlegender Bedeutung sind". Darüber hinaus formulierte Google zahlreiche weitere Ideen und Forderungen, die das Team als Teil der OpenSSF voranbringen will.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


schily 07. Feb 2021

Ich kenne David Korn und Glenn Fowler seit 2005 persönlich, seit ich sie in diversen...

schnedan 07. Feb 2021

für wichtige SW gepflegte, geprüfte und gereviewte Forks verwalten würde - warum nicht...

FreiGeistler 05. Feb 2021

Meine ich auch. Wer bei Hobbyprojekten mühsame Prozesse fordert, muss diese entlöhnen...



Aktuell auf der Startseite von Golem.de
Minority Report wird 20 Jahre alt
Die Zukunft wird immer gegenwärtiger

Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
Von Peter Osteried

Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
Artikel
  1. Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
    Neue Grafikkarten
    Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

    Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

  2. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

  3. Gegen Agile Unlust: Macht es wie Bruce Lee
    Gegen Agile Unlust
    Macht es wie Bruce Lee

    Unser Autor macht seit vielen Jahren agile Projekte und kennt "agile Unlust". Er weiß, warum sie entsteht, und auch, wie man gegen sie ankommen kann.
    Ein Erfahrungsbericht von Marvin Engel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindFactory (u. a. PowerColor RX 6700 XT Hellhound 489€, ASRock RX 6600 XT Challenger D OC 388€) • Kingston NV2 1TB (PS5) 72,99€ • be quiet! Silent Loop 2 240 99,90€ • Star Wars: Squadrons PS4a 5€ • Acer 24"-FHD/165 Hz 149€ + Cashback • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /