Zunehmende Konzentration auf Open-Source-Sicherheitssoftware
Zusätzlicher Fokus auf die Cybersecurity auf der höchsten Ebene einer Organisation ist natürlich immer eine gute Sache, aber allzu oft neigen die Führungskräfte von Organisationen dazu, sich mehr auf die Optik als auf die Substanz zu konzentrieren. Aus Sicht vieler IT- und Security-Experten wirkt das kürzlich vom Weißen Haus einberufene Treffen zum Stand der Security von Open-Source-Software nur allzu vertraut.
Das Weiße Haus veröffentlichte eine Erklärung, in der es unter anderem festgestellt wird, dass die Teilnehmer an diesem Treffen eine „substanzielle und konstruktive“ Diskussion darüber führten, wie man die Security von Open Source-Software verbessern und gleichzeitig die Open Source-Community effektiv einbeziehen und unterstützen kann.
Zu den Teilnehmern des Meetings zählten die stellvertretende nationale Sicherheitsberaterin für Cyber- und neue Technologien Anne Neuberger, National Cyber Director Chris Inglis und Beamte des Office of the National Cyber Director, Office of Science and Technology Policy, das Verteidigungsministerium, das Handelsministerium, das Energieministerium, das Ministerium für Innere Sicherheit, die Cybersecurity and Infrastructure Security Agency (CISA), das National Institute of Standards and Technology und die National Science Foundation. Akamai, Amazon, die Apache Software Foundation, Apple, Cloudflare, Facebook/Meta, GitHub, Google, IBM, die Linux Foundation, die Open Source Security Foundation, Microsoft, Oracle, RedHat und VMWare schickten allesamt Vertreter.
Das Weiße Haus berichtet, dass sich die Diskussion auf die Vermeidung von Security-Mängeln und Schwachstellen in Code und Open Source-Paketen, die Verbesserung des Prozesses zum Auffinden von Mängeln und deren Behebung und die Verkürzung der Reaktionszeit für die Verteilung und Implementierung von Korrekturen konzentrierte.
Was das erste Thema betrifft, so diskutierten die Teilnehmer nach Angaben des Weißen Hauses Vorschläge, die es Entwicklern erleichtern sollen, sicheren Code zu schreiben, indem sie Security-Funktionen in Entwicklungs-Tools integrieren und die Infrastruktur für die Erstellung, Lagerung und Verteilung von Code sichern, z. B. durch Techniken wie Code Signing und stärkere digitale Identitäten.
In der zweiten Kategorie diskutierten die Teilnehmer darüber, wie die wichtigsten Open Source-Projekte priorisiert und nachhaltige Mechanismen zu ihrer Aufrechterhaltung eingerichtet werden können.
In der letzten Kategorie erörterten die Teilnehmer Möglichkeiten zur Beschleunigung und Verbesserung der Verwendung von Software-Stücklisten, wie sie in der Verfügung des Präsidenten gefordert werden, damit es einfacher wird, zu wissen, was in der von uns erworbenen und verwendeten Software enthalten ist.
Zusammenfassend ermutigt die US-Bundesregierung Behörden und alle Organisationen, mit denen sie interagieren, Software zu entwickeln, um bewährte DevSecOps-Praktiken zu nutzen, mit denen Entwickler sicherere Anwendungen erstellen können. Diese Idee ist nicht neu. Viele Entwickler und Cybersecurity-Experten bewegen sich bereits in diese Richtung. Der Bericht des Weißen Hauses geht nicht auf die wirklichen DevSecOps-Herausforderungen ein, die es zu bewältigen gilt.
Entwickler verwenden heute routinemäßig Open Source-Software wie das Log4j Logging Tool, bei dem kürzlich eine Reihe von Zero-Day-Schwachstellen entdeckt wurde. Das Problem besteht darin, dass viele dieser Projekte von einer kleinen Anzahl von Programmierern betreut werden, die ihre Zeit und ihre Arbeit zur Verfügung stellen, um Komponenten zu entwickeln, die andere dann frei verwenden können. Die Security-Expertise dieser Personen ist ebenso begrenzt wie die jedes anderen Entwicklers. Der sprichwörtliche Elefant im Raum, der nicht angesprochen wird, ist die Tatsache, dass so viele IT-Anbieter und IT-Großunternehmen diesen Code wiederverwenden, ohne etwas Sinnvolles zum Projekt beizutragen. Dies gilt sowohl für die Finanzierung als auch für die Unterstützung der Open Source-Verantwortlichen bei der Suche und Behebung von Schwachstellen. Eine Open Source-Community ist inzwischen sogar so weit gegangen, gegen diesen Zustand zu protestieren, indem sie ihre Codebasis absichtlich sabotiert. Es ist nicht klar, ob andere diesem Beispiel folgen werden, aber in der Open Source-Community gibt es weit verbreitete Ressentiments, wenn es um Cybersecurity geht. Im Mittelpunkt dieses Problems stehen die Mitwirkenden an diesen Projekten, die ihre Zeit und ihr Fachwissen frei zur Verfügung stellen, um diese Komponenten zu erstellen. Die Verantwortung dafür, dass diese sicher sind, liegt bei den Organisationen, die sich für den Einsatz dieser Software entscheiden.
Das Weiße Haus versucht eindeutig, IT-Anbieter und größere Unternehmen unter Druck zu setzen, mehr zu den Bemühungen um die Sicherung von Open Source-Software beizutragen. Die US-Regierung scheint auch bereit zu sein, die zur Erreichung dieses Ziels bereitgestellten Mittel zu erhöhen.
In der Zwischenzeit müssen Cybersecurity-Teams bei der Überprüfung von Software-Lieferketten beurteilen, ob die verwendete Open Source-Software aus einer Security-Perspektive wirklich nachhaltig ist. Je geringer die Zahl der Mitwirkenden an einem OpenSource-Projekt ist, desto wahrscheinlicher ist es, dass es zu Security-Problemen kommt.
Es bleibt zu hoffen, dass dies der Anfang einer wesentlichen Verbesserung der Sicherheit von Open Source-Software ist. Allerdings sollte man auch nicht vergessen, dass dies alles bisher nur große Worte sind.
