OpenSSF: Projektbewertungen sollen Open-Source-Security verbessern

Eine automatisierte Bewertung soll helfen, die Probleme mit der Sicherheit von Open-Source-Paketabhängigkeiten zu lösen.

Artikel veröffentlicht am ,
Das OpenSSF-Maskottchen ist eine Gans.
Das OpenSSF-Maskottchen ist eine Gans. (Bild: Pixabay)

Die erst im Sommer dieses Jahres gegründete Open Source Security Foundation (OpenSSF) hat eines ihrer ersten eigene Projekte angekündigt: sogenannte Scorecards für Open-Source-Projekte. Mit Hilfe dieser einfach zu verstehenden Wertungskarten sollen sich externe Entwicklungsteams schnell einen Überblick über die Sicherheit und die Pflege von Open-Source-Software verschaffen können, die sie in eigenen Projekten nutzen oder nutzen wollen.

Stellenmarkt
  1. IT Projektleiter (m/w/d) interne Digitalisierung
    Dürr IT Service GmbH, Bietigheim-Bissingen
  2. Consultant / Product Owner (m/w/d)
    SEITENBAU GmbH, Konstanz (Home-Office möglich)
Detailsuche

Der Hintergrund dafür ist schlicht die Komplexität moderner Softwareprojekte, die oft sehr hoch ist und auch schnell ansteigt, wenn etwa auf eine Vielzahl Pakete von Programmiersprachen zurückgegriffen wird. So werden vor allem in dem NPM-Ökosystem von Node.js immer wieder Pakete entdeckt, die schwere Sicherheitslücken enthalten, kaum sinnvoll betreut werden oder andere Probleme haben.

Wie Google in seinem Security-Blog schreibt, gebe es zwar wie in jeder anderen Firma auch Richtlinien zur Integration dieser externen Abhängigkeiten. "Dieser Prozess kann jedoch langwierig, manuell und fehleranfällig sein. Darüber hinaus sind viele dieser Projekte und Entwickler ressourcenbeschränkt, und Sicherheit hat häufig eine niedrige Priorität auf der Aufgabenliste", heißt es zur Einordnung von Google. Die Scorecards sollen dabei helfen, diese Probleme zu lösen.

Die Bewertungen für die Open-Source-Projekte werden dabei automatisch anhand bestimmter Kriterien erstellt und sollen in eigenen Einsatzszenarien dabei helfen, "Vertrauen, Risiko und Sicherheitslage" besser einschätzen zu können. "Einige der verwendeten Bewertungsmetriken umfassen genau definierte Sicherheitsrichtlinien, einen Codeüberprüfungsprozess und eine kontinuierliche Testabdeckung mit Werkzeugen zur Analyse von Fuzzing und statischem Code". Die gesamte Liste der bisher vorgesehenen Überprüfungen, die in den Wert der Scorecards einfließen soll, findet sich auf Github. Google kündigt bereits an, diese weiter ausbauen zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  2. Umweltschutz: Leipziger Forscher entdecken Enzym für Plastikrecycling
    Umweltschutz
    Leipziger Forscher entdecken Enzym für Plastikrecycling

    Ein neu entdecktes Enzym soll das biologische Recycling von Kunststoff deutlich beschleunigen.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /