OpenSSF: Projektbewertungen sollen Open-Source-Security verbessern

Eine automatisierte Bewertung soll helfen, die Probleme mit der Sicherheit von Open-Source-Paketabhängigkeiten zu lösen.

Artikel veröffentlicht am ,
Das OpenSSF-Maskottchen ist eine Gans.
Das OpenSSF-Maskottchen ist eine Gans. (Bild: Pixabay)

Die erst im Sommer dieses Jahres gegründete Open Source Security Foundation (OpenSSF) hat eines ihrer ersten eigene Projekte angekündigt: sogenannte Scorecards für Open-Source-Projekte. Mit Hilfe dieser einfach zu verstehenden Wertungskarten sollen sich externe Entwicklungsteams schnell einen Überblick über die Sicherheit und die Pflege von Open-Source-Software verschaffen können, die sie in eigenen Projekten nutzen oder nutzen wollen.

Stellenmarkt
  1. IT System Engineer - 1st/2nd Level Support (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Referent (m/w/d) Akademische Weiterbildung Schwerpunkt Studiengang-Management
    Technische Hochschule Ingolstadt, Ingolstadt
Detailsuche

Der Hintergrund dafür ist schlicht die Komplexität moderner Softwareprojekte, die oft sehr hoch ist und auch schnell ansteigt, wenn etwa auf eine Vielzahl Pakete von Programmiersprachen zurückgegriffen wird. So werden vor allem in dem NPM-Ökosystem von Node.js immer wieder Pakete entdeckt, die schwere Sicherheitslücken enthalten, kaum sinnvoll betreut werden oder andere Probleme haben.

Wie Google in seinem Security-Blog schreibt, gebe es zwar wie in jeder anderen Firma auch Richtlinien zur Integration dieser externen Abhängigkeiten. "Dieser Prozess kann jedoch langwierig, manuell und fehleranfällig sein. Darüber hinaus sind viele dieser Projekte und Entwickler ressourcenbeschränkt, und Sicherheit hat häufig eine niedrige Priorität auf der Aufgabenliste", heißt es zur Einordnung von Google. Die Scorecards sollen dabei helfen, diese Probleme zu lösen.

Die Bewertungen für die Open-Source-Projekte werden dabei automatisch anhand bestimmter Kriterien erstellt und sollen in eigenen Einsatzszenarien dabei helfen, "Vertrauen, Risiko und Sicherheitslage" besser einschätzen zu können. "Einige der verwendeten Bewertungsmetriken umfassen genau definierte Sicherheitsrichtlinien, einen Codeüberprüfungsprozess und eine kontinuierliche Testabdeckung mit Werkzeugen zur Analyse von Fuzzing und statischem Code". Die gesamte Liste der bisher vorgesehenen Überprüfungen, die in den Wert der Scorecards einfließen soll, findet sich auf Github. Google kündigt bereits an, diese weiter ausbauen zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
LG HU915QE
Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung

LG hat einen Kurzdistanzprojektor mit Lasertechnik vorgestellt. Der HU915QE erzeugt ein riesiges Bild und steht dabei fast an der Wand.

LG HU915QE: Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung
Artikel
  1. Verkaufsstart des 9-Euro-Tickets: Was Fahrgäste wissen müssen
    Verkaufsstart des 9-Euro-Tickets
    Was Fahrgäste wissen müssen

    Das 9-Euro-Ticket für den ÖPNV ist beschlossene Sache, Verkehrsverbünde und -unternehmen sehen sich auf den Verkaufsstart in diesen Tagen gut vorbereitet. Doch es gibt viele offene Fragen.

  2. Sexualisierte Gewalt gegen Kinder: Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle
    Sexualisierte Gewalt gegen Kinder
    Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle

    Ursprünglich hat die Sozialdemokratin die geplante EU-Überwachung des Internets befürwortet. Nun sagt sie etwas anderes zur Chatkontrolle.

  3. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer Predator X38S (UWQHD, 175 Hz OC) 1.499€ • MindStar (u. a. AMD Ryzen 7 5700X 268€ und PowerColor RX 6750 XT Red Devil 609€ und RX 6900 XT Red Devil Ultimate 949€) • Alternate (u. a. Cooler Master Caliber R1 159,89€) • SanDisk Portable SSD 1 TB 81€ • Motorola Moto G60s 149€ [Werbung]
    •  /