• IT-Karriere:
  • Services:

OpenSSF: Projektbewertungen sollen Open-Source-Security verbessern

Eine automatisierte Bewertung soll helfen, die Probleme mit der Sicherheit von Open-Source-Paketabhängigkeiten zu lösen.

Artikel veröffentlicht am ,
Das OpenSSF-Maskottchen ist eine Gans.
Das OpenSSF-Maskottchen ist eine Gans. (Bild: Pixabay)

Die erst im Sommer dieses Jahres gegründete Open Source Security Foundation (OpenSSF) hat eines ihrer ersten eigene Projekte angekündigt: sogenannte Scorecards für Open-Source-Projekte. Mit Hilfe dieser einfach zu verstehenden Wertungskarten sollen sich externe Entwicklungsteams schnell einen Überblick über die Sicherheit und die Pflege von Open-Source-Software verschaffen können, die sie in eigenen Projekten nutzen oder nutzen wollen.

Stellenmarkt
  1. Commerz Direktservice GmbH, Duisburg
  2. Bundeskriminalamt, Wiesbaden, Berlin, Meckenheim

Der Hintergrund dafür ist schlicht die Komplexität moderner Softwareprojekte, die oft sehr hoch ist und auch schnell ansteigt, wenn etwa auf eine Vielzahl Pakete von Programmiersprachen zurückgegriffen wird. So werden vor allem in dem NPM-Ökosystem von Node.js immer wieder Pakete entdeckt, die schwere Sicherheitslücken enthalten, kaum sinnvoll betreut werden oder andere Probleme haben.

Wie Google in seinem Security-Blog schreibt, gebe es zwar wie in jeder anderen Firma auch Richtlinien zur Integration dieser externen Abhängigkeiten. "Dieser Prozess kann jedoch langwierig, manuell und fehleranfällig sein. Darüber hinaus sind viele dieser Projekte und Entwickler ressourcenbeschränkt, und Sicherheit hat häufig eine niedrige Priorität auf der Aufgabenliste", heißt es zur Einordnung von Google. Die Scorecards sollen dabei helfen, diese Probleme zu lösen.

Die Bewertungen für die Open-Source-Projekte werden dabei automatisch anhand bestimmter Kriterien erstellt und sollen in eigenen Einsatzszenarien dabei helfen, "Vertrauen, Risiko und Sicherheitslage" besser einschätzen zu können. "Einige der verwendeten Bewertungsmetriken umfassen genau definierte Sicherheitsrichtlinien, einen Codeüberprüfungsprozess und eine kontinuierliche Testabdeckung mit Werkzeugen zur Analyse von Fuzzing und statischem Code". Die gesamte Liste der bisher vorgesehenen Überprüfungen, die in den Wert der Scorecards einfließen soll, findet sich auf Github. Google kündigt bereits an, diese weiter ausbauen zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,96€)
  2. (u. a. Find X2 Neo 256GB 6,5 Zoll für 439,99€, Watch 41 mm Smartwatch für 179,99€)
  3. 749€

twothe 10. Nov 2020 / Themenstart

Ich bin ja grundsätzlich ein Freund von sicherer Software, von daher begrüße ich die...

Kommentieren


Folgen Sie uns
       


Geforce RTX 3070 - Test

Die Grafikkarte liegt etwa gleichauf mit der Geforce RTX 2080 Ti.

Geforce RTX 3070 - Test Video aufrufen
    •  /