OpenSSF: Projektbewertungen sollen Open-Source-Security verbessern

Eine automatisierte Bewertung soll helfen, die Probleme mit der Sicherheit von Open-Source-Paketabhängigkeiten zu lösen.

Artikel veröffentlicht am ,
Das OpenSSF-Maskottchen ist eine Gans.
Das OpenSSF-Maskottchen ist eine Gans. (Bild: Pixabay)

Die erst im Sommer dieses Jahres gegründete Open Source Security Foundation (OpenSSF) hat eines ihrer ersten eigene Projekte angekündigt: sogenannte Scorecards für Open-Source-Projekte. Mit Hilfe dieser einfach zu verstehenden Wertungskarten sollen sich externe Entwicklungsteams schnell einen Überblick über die Sicherheit und die Pflege von Open-Source-Software verschaffen können, die sie in eigenen Projekten nutzen oder nutzen wollen.

Stellenmarkt
  1. SAP Anwendungsbetreuer Sales/SAP Consultant SD (m/w/d)
    Vivawest Wohnen GmbH, Gelsenkirchen
  2. Sachbearbeitung (m/w/d) im Referat 8506 "Dienstleistungszentren Ländlicher Raum, Berufsbildung und Beratung Agrar- und Hauswirtschaft"
    Ministerium für Wirtschaft, Verkehr, Landwirtschaft und Weinbau, Mainz
Detailsuche

Der Hintergrund dafür ist schlicht die Komplexität moderner Softwareprojekte, die oft sehr hoch ist und auch schnell ansteigt, wenn etwa auf eine Vielzahl Pakete von Programmiersprachen zurückgegriffen wird. So werden vor allem in dem NPM-Ökosystem von Node.js immer wieder Pakete entdeckt, die schwere Sicherheitslücken enthalten, kaum sinnvoll betreut werden oder andere Probleme haben.

Wie Google in seinem Security-Blog schreibt, gebe es zwar wie in jeder anderen Firma auch Richtlinien zur Integration dieser externen Abhängigkeiten. "Dieser Prozess kann jedoch langwierig, manuell und fehleranfällig sein. Darüber hinaus sind viele dieser Projekte und Entwickler ressourcenbeschränkt, und Sicherheit hat häufig eine niedrige Priorität auf der Aufgabenliste", heißt es zur Einordnung von Google. Die Scorecards sollen dabei helfen, diese Probleme zu lösen.

Die Bewertungen für die Open-Source-Projekte werden dabei automatisch anhand bestimmter Kriterien erstellt und sollen in eigenen Einsatzszenarien dabei helfen, "Vertrauen, Risiko und Sicherheitslage" besser einschätzen zu können. "Einige der verwendeten Bewertungsmetriken umfassen genau definierte Sicherheitsrichtlinien, einen Codeüberprüfungsprozess und eine kontinuierliche Testabdeckung mit Werkzeugen zur Analyse von Fuzzing und statischem Code". Die gesamte Liste der bisher vorgesehenen Überprüfungen, die in den Wert der Scorecards einfließen soll, findet sich auf Github. Google kündigt bereits an, diese weiter ausbauen zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Youtuber bekommt für Deep Fakes Job bei Lucasfilm

Mit Deepfakes schafft Shamook überzeugendere Varianten von Star-Wars-Figuren, als es Disney je gelungen ist. Jetzt arbeitet er bei ILM.

Star Wars: Youtuber bekommt für Deep Fakes Job bei Lucasfilm
Artikel
  1. Flight Simulator im Benchmark-Test: Sim Update 5 lässt Performance abheben
    Flight Simulator im Benchmark-Test
    Sim Update 5 lässt Performance abheben

    Die Optimierungen bei Bildrate und Speicherbedarf sind derart immens, dass wir kaum glauben können, noch den Flight Simulator zu spielen.
    Ein Test von Marc Sauter

  2. Sony: Zehn Millionen Exemplare der Playstation 5 verkauft
    Sony
    Zehn Millionen Exemplare der Playstation 5 verkauft

    Trotz Lieferengpässen ist die Playstation 5 vermutlich die am schnellsten verkaufte Konsole. Auch zum Absatz der Xbox Series X/S gibt es neue Zahlen.

  3. Sexismus: Entwickler wollen Inhalte von World of Warcraft ändern
    Sexismus
    Entwickler wollen Inhalte von World of Warcraft ändern

    Es rumort weiter bei Activision Blizzard: Entwickler wollen streiken und WoW überarbeiten. Konzernchef Bobby Kotick meldet sich erstmals.

twothe 10. Nov 2020

Ich bin ja grundsätzlich ein Freund von sicherer Software, von daher begrüße ich die...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung-Monitore Amazon Exclusive günstiger (u. a. G7 32" QLED Curved WQHD 240Hz 559€) • AKRacing Core EX-Wide SE Gaming-Stuhl 229€ • Thrustmaster TCA Officer Pack Airbus Edition 119,99€ • Flight Simulator Xbox Series X 69,99€ [Werbung]
    •  /