OpenSSF: Google will strikte Regeln für Arbeit an Open Source
In einem Post in Googles Security-Blog(öffnet im neuen Fenster) zeigen Verantwortliche des Unternehmens auf, was geschehen müsse, damit in der Industrie genutzte Open-Source-Software sicherer werde. Eine Forderung, die dabei kontrovers sein dürfte, sind strikte Regeln zur Arbeit an und mit Open-Source-Software, die für alle Betreuer und Beitragenden der Projekte gelten sollten – auch außerhalb von Google.
Langfristiges Ziel der Google-Initiative ist es, sogenannte Supply-Chain-Angriffe zu verhindern. Bei moderner Software ist mit dieser Lieferkette die Nutzung einer Vielzahl unterschiedlicher Open-Source-Projekte als Abhängigkeit der eigenen Software gemeint. Ein erstes großes Umdenken zur Sicherheit und Ausstattung dieser begann in der IT-Industrie mit dem Heartbleed-Bug in OpenSSL, der weitreichende Auswirkungen hatte.
Inzwischen versuchen Google und weitere Unternehmen, solche Überlegungen zur Sicherheit der Abhängigkeiten innerhalb der OpenSSF-Initiative zu koordinieren und zu vereinheitlichen. Eine der wohl wichtigsten Arbeiten dabei ist es, die als besonders kritisch betrachtete Software überhaupt zu erkennen, woran Google ebenfalls arbeitet.
Viele Lasten und Forderungen an die Entwicklung
Die von Google nun veröffentlichten Vorschläge sehen unter anderem vor, dass Code nicht mehr von Einzelpersonen verändert werden darf, sondern immer eine Code-Review stattfinden muss, und Änderungen von zwei unabhängigen Parteien bestätigt werden müssen. Das wird bereits in vielen Projekten angestrebt und etwa in dem auf Sicherheit fokussierten OpenBSD umgesetzt.
Darüber hinaus will Google, dass Betreuer von Code nicht mehr anonym agieren und zwingend bekannt sein müssen. Ebenso fordert das Team eine starke Authentifizierung von Beitragenden sowie eine Art Identitätsverwaltung, die es ermöglicht, Beitragende über viele verschiedene Projekte und Systeme hinweg zu verifizieren. Auch Wechsel bei Betreuern sollen schnell und einfach erkannt und verfolgt werden können.
Die Ideen Googles lassen sich leicht im Kontext der Software-Industrie verstehen, in dem Unternehmen solche Regeln intern vergleichsweise einfach einfordern und umsetzen können. Bei der Vielfalt und schieren Fülle an Open-Source-Software, die weltweit produktiv eingesetzt wird, ist das wohl aber schwieriger. Wie Google selbst schreibt, gehen die Beteiligten davon aus, dass die geforderten Regeln als Belastung wahrgenommen werden könnten und "daher auf Widerstand stoßen, aber wir glauben, dass die zusätzlichen Einschränkungen für die Sicherheit von grundlegender Bedeutung sind". Darüber hinaus formulierte Google zahlreiche weitere Ideen und Forderungen, die das Team als Teil der OpenSSF voranbringen will.
- Anzeige Hier geht es zu Microsoft 365 Family bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.