Die USA äußern sich zur Sicherheit von Open-Source-Software
Eines der Dinge, die im Gefolge der Log4Shell-Schwachstelle viel offensichtlicher geworden sind, ist die Abhängigkeit einer großen Anzahl von Anwendungen von Open-Source-Code, der von einer kleinen Anzahl von Entwicklern verwaltet wird. Obwohl Log4j häufig von Entwicklern von Java-Anwendungen verwendet wird, ist die kleine Anzahl von Mitwirkenden, die überprüfen, dass der Code sicher ist, typisch für die meisten Open-Source-Projekte, wobei Linux selbst wahrscheinlich die Ausnahme ist.
Dieses Thema steht jetzt ganz oben auf der Security-Agenda, denn Unternehmen überprüfen weiterhin ihre Software-Lieferketten, als Folge einer Reihe von aufsehenerregenden Verstößen. Der nationale Sicherheitsberater des Weißen Hauses, Jake Sullivan, hat diesbezüglich einen Brief an großen Softwareunternehmen und Entwickler geschickt, in dem er sie einlädt, Initiativen zur Verbesserung der Security von Open-Source-Software zu erörtern, angefangen mit einer eintägigen Diskussion in diesem Monat, die von Anne Neuberger, der stellvertretenden nationalen Sicherheitsberaterin für Cyber- und neue Technologien, moderiert wird.
In dem Brief wies Sullivan ausdrücklich darauf hin, dass Open-Source-Software das Innovationstempo zwar beschleunigt hat, aber größtenteils von Freiwilligen verwaltet wird. Dies sei jetzt ein zentrales Anliegen der nationalen Sicherheit, schrieb er.
Open-Source-Schwachstellen waren ein großer Anlass zur Sorge, schon vor der Entdeckung der Log4Shell-Schwachstellen. Die Open Source Security Foundation (OpenSSF), ein Zweig der Linux Foundation, hat 10 Millionen USD gesammelt, um Betreuern die Akzeptanz von Best Practices näherzubringen, damit Open-Source-Projekte besser vor bösartigem Code geschützt werden können, der von Hackern, die sich als Mitwirkende am Projekt ausgeben, in Software eingeschleust werden könnte. Google hat 1 Million USD zugesagt, um Open-Source-Entwickler bei der Einhaltung von Richtlinien zu unterstützen, die vom National Institute of Standards and Technology (NIST) des US-Handelsministeriums als Reaktion auf die kürzlich von der Biden-Administration erlassene Anordnung zur Cybersecurity aufgestellt wurden. Diese von der Linux Foundation als Pilotprogramm verwalteten Bemühungen sind Teil einer größeren Verpflichtung in Höhe von 10 Milliarden USD, die Google zuvor für Open-Source-Security eingegangen ist.
Im Mittelpunkt der Security-Krise der Open-Source-Software steht eine Debatte darüber, wer eigentlich für Security verantwortlich sein sollte. Die Mitwirkenden an diesen Projekten geben an, dass sie bereits viele Stunden zur Projekterstellung beigetragen haben. Es ist Aufgabe der Organisationen, die diese kostenlose Software nutzen, zu gewährleisten, dass sie bei der Bereitstellung abgesichert ist.
Unabhängig davon, wer diese Software sichert, ist es klar, dass viel zu viele Organisationen Open-Source-Software nutzen, ohne den geringsten Beitrag zu Open-Source-Projekten zu leisten. Das Weiße Haus macht deutlich, dass sich das ändern muss. Organisationen, die Entwickler einstellen, werden im Namen des Allgemeinwohls von der Bundesregierung aufgefordert, einen substanzielleren Beitrag zur Sicherung von Open-Source-Software zu leisten. Die USA signalisieren nun, dass sie verfolgen wollen, wer zu Open-Source-Projekten beiträgt, die letztlich von Bundesbehörden genutzt werden. Die Implikation ist, dass IT-Anbieter, die sich auf unsichere Open-Source-Software verlassen, bald auf die eine oder andere Weise schließlich dafür verantwortlich gemacht werden, dass die Software sicher ist.
Dieses Thema steht jetzt ganz oben auf der Security-Agenda, denn Unternehmen überprüfen weiterhin ihre Software-Lieferketten, als Folge einer Reihe von aufsehenerregenden Verstößen. Der nationale Sicherheitsberater des Weißen Hauses, Jake Sullivan, hat diesbezüglich einen Brief an großen Softwareunternehmen und Entwickler geschickt, in dem er sie einlädt, Initiativen zur Verbesserung der Security von Open-Source-Software zu erörtern, angefangen mit einer eintägigen Diskussion in diesem Monat, die von Anne Neuberger, der stellvertretenden nationalen Sicherheitsberaterin für Cyber- und neue Technologien, moderiert wird.
In dem Brief wies Sullivan ausdrücklich darauf hin, dass Open-Source-Software das Innovationstempo zwar beschleunigt hat, aber größtenteils von Freiwilligen verwaltet wird. Dies sei jetzt ein zentrales Anliegen der nationalen Sicherheit, schrieb er.
Open-Source-Schwachstellen waren ein großer Anlass zur Sorge, schon vor der Entdeckung der Log4Shell-Schwachstellen. Die Open Source Security Foundation (OpenSSF), ein Zweig der Linux Foundation, hat 10 Millionen USD gesammelt, um Betreuern die Akzeptanz von Best Practices näherzubringen, damit Open-Source-Projekte besser vor bösartigem Code geschützt werden können, der von Hackern, die sich als Mitwirkende am Projekt ausgeben, in Software eingeschleust werden könnte. Google hat 1 Million USD zugesagt, um Open-Source-Entwickler bei der Einhaltung von Richtlinien zu unterstützen, die vom National Institute of Standards and Technology (NIST) des US-Handelsministeriums als Reaktion auf die kürzlich von der Biden-Administration erlassene Anordnung zur Cybersecurity aufgestellt wurden. Diese von der Linux Foundation als Pilotprogramm verwalteten Bemühungen sind Teil einer größeren Verpflichtung in Höhe von 10 Milliarden USD, die Google zuvor für Open-Source-Security eingegangen ist.
Im Mittelpunkt der Security-Krise der Open-Source-Software steht eine Debatte darüber, wer eigentlich für Security verantwortlich sein sollte. Die Mitwirkenden an diesen Projekten geben an, dass sie bereits viele Stunden zur Projekterstellung beigetragen haben. Es ist Aufgabe der Organisationen, die diese kostenlose Software nutzen, zu gewährleisten, dass sie bei der Bereitstellung abgesichert ist.
Unabhängig davon, wer diese Software sichert, ist es klar, dass viel zu viele Organisationen Open-Source-Software nutzen, ohne den geringsten Beitrag zu Open-Source-Projekten zu leisten. Das Weiße Haus macht deutlich, dass sich das ändern muss. Organisationen, die Entwickler einstellen, werden im Namen des Allgemeinwohls von der Bundesregierung aufgefordert, einen substanzielleren Beitrag zur Sicherung von Open-Source-Software zu leisten. Die USA signalisieren nun, dass sie verfolgen wollen, wer zu Open-Source-Projekten beiträgt, die letztlich von Bundesbehörden genutzt werden. Die Implikation ist, dass IT-Anbieter, die sich auf unsichere Open-Source-Software verlassen, bald auf die eine oder andere Weise schließlich dafür verantwortlich gemacht werden, dass die Software sicher ist.
