Zunehmende Konzentration auf Open-Source-Sicherheitssoftware

Druckfreundlich, PDF & E-Mail

Zusätzlicher Fokus auf die Cybersecurity auf höchster Ebene eines Unternehmens ist natürlich immer eine gute Sache, aber allzu oft neigt die oberste Führung von Unternehmen dazu, sich mehr auf die Optik als auf die Substanz zu konzentrieren. Aus Sicht vieler IT- und Sicherheitsexperten wirkt das kürzlich vom Weißen Haus einberufene Treffen zum Stand der Sicherheit von Open-Source-Software nur allzu vertraut.

Das Weiße Haus veröffentlichte eine Erklärung, in der unter anderem festgestellt wird, dass die Teilnehmer dieses Treffens eine „substanzielle und konstruktive“ Diskussion darüber führten, wie man die Sicherheit von Open-Source-Software verbessern und gleichzeitig die Open Source Community effektiv einbinden und wirksam unterstützen kann.

Zu den Teilnehmern des Meetings zählten die stellvertretende nationale Sicherheitsberaterin für Cyber- und neue Technologien Anne Neuberger, National Cyber Director Chris Inglis und Beamte des Office of the National Cyber Director, Office of Science and Technology Policy, das Verteidigungsministerium, das Handelsministerium, das Energieministerium, das Ministerium für Innere Sicherheit, die Cybersecurity and Infrastructure Security Agency (CISA), das National Institute of Standards and Technology und die National Science Foundation. Akamai, Amazon, die Apache Software Foundation, Apple, Cloudflare, Facebook/Meta, GitHub, Google, IBM, die Linux Foundation, die Open Source Security Foundation, Microsoft, Oracle, RedHat und VMWare schickten allesamt Vertreter.

Das Weiße Haus berichtet, dass sich die Diskussion auf die Vermeidung von Sicherheitsmängeln und Schwachstellen in Code und Open-Source-Paketen, die Verbesserung des Prozesses zum Auffinden von Mängeln und deren Behebung sowie die Verkürzung der Reaktionszeit für die Verteilung und Implementierung von Korrekturen konzentrierte.

Was das erste Thema betrifft, so diskutierten die Teilnehmer nach Angaben des Weißen Hauses Ideen, die es Entwicklern erleichtern sollen, sicheren Code zu schreiben, indem sie Sicherheitsfunktionen in Entwicklungswerkzeuge integrieren und die Infrastruktur für die Erstellung, Lagerung und Verteilung von Code sichern, z. B. durch Techniken wie Code Signing und stärkere digitale Identitäten.

In der zweiten Kategorie diskutierten die Teilnehmer darüber, wie die wichtigsten Open-Source-Projekte priorisiert und nachhaltige Mechanismen zu ihrer Pflege eingerichtet werden können.

In der letzten Kategorie erörterten die Teilnehmer Möglichkeiten zur Beschleunigung und Verbesserung der Verwendung von Software-Stücklisten, wie sie in der Verfügung des Präsidenten gefordert werden, damit es einfacher wird, zu wissen, was in der von uns erworbenen und verwendeten Software enthalten ist.

Zusammenfassend ermutigt die US-Bundesregierung Behörden und alle Organisationen, mit denen sie interagieren, Software zu entwickeln, um bewährte DevSecOps-Praktiken zu nutzen, mit denen Entwickler sicherere Anwendungen erstellen können. Diese Idee ist nicht neu. Viele Entwickler und Cybersicherheitsexperten bewegen sich bereits in diese Richtung. Der Bericht des Weißen Hauses geht nicht auf die wirklichen DevSecOps-Herausforderungen ein, die es zu bewältigen gilt.

Entwickler verwenden heute routinemäßig Open-Source-Software wie das Log4j Logging Tool, bei dem kürzlich eine Reihe von Zero-Day-Schwachstellen entdeckt wurde. Das Problem besteht darin, dass viele dieser Projekte von einer kleinen Anzahl von Programmierern betreut werden, die ihre Zeit und ihre Arbeit zur Verfügung stellen, um Komponenten zu entwickeln, die andere dann frei verwenden können. Die Sicherheitsexpertise dieser Personen ist ebenso begrenzt wie die jedes anderen Entwicklers. Der sprichwörtliche Elefant im Raum, der nicht angesprochen wird, ist die Tatsache, dass so viele IT-Anbieter und IT-Großunternehmen diesen Code wiederverwenden, ohne etwas Sinnvolles zum Projekt beizutragen. Dies gilt sowohl für die Finanzierung als auch für die Unterstützung der Open-Source-Verantwortlichen bei der Suche und Behebung von Schwachstellen. Eine Open-Source-Gemeinschaft ist jetzt sogar so weit gegangen, gegen diesen Zustand zu protestieren, indem sie ihre Codebasis absichtlich sabotiert. Es ist nicht klar, ob andere diesem Beispiel folgen werden, aber in der Open-Source-Gemeinschaft gibt es weit verbreitete Ressentiments, wenn es um die Cybersicherheit geht. Im Mittelpunkt dieses Problems stehen die Mitwirkenden an diesen Projekten, die ihre Zeit und ihr Fachwissen frei zur Verfügung stellen, um diese Komponenten zu erstellen. Die Verantwortung dafür, dass diese sicher sind, liegt bei den Unternehmen, die sich für den Einsatz dieser Software entscheiden.

Das Weiße Haus versucht ganz klar, IT-Anbieter und größere Unternehmen dazu zu zwingen, mehr zur Sicherung von Open-Source-Software beizutragen. Die US-Regierung scheint auch bereit zu sein, die zur Erreichung dieses Ziels bereitgestellten Mittel zu erhöhen.

In der Zwischenzeit müssen Cybersicherheitsteams bei der Überprüfung von Software-Lieferketten beurteilen, ob die verwendete Open-Source-Software aus Sicherheitsperspektive wirklich nachhaltig ist. Je geringer die Zahl der Mitwirkenden an einem Open-Source-Projekt ist, desto wahrscheinlicher ist es, dass es zu Sicherheitsproblemen kommt.

Es bleibt zu hoffen, dass dies der Anfang einer wesentlichen Verbesserung der Sicherheit von Open-Source-Software ist. Allerdings sollte man auch nicht vergessen, dass das alles bisher nur große Worte sind.

 

Nach oben scrollen
Twittern
Teilen
Teilen