Barracuda full logo

Gesetzesentwurf zur Open-Source-Softwaresicherheit macht Fortschritte

Themen:
17. Apr.. 2023
|
Mike Vizard

Ein Gesetzentwurf, der die Entwicklung von Open-Source-Software verspricht, hat einen wichtigen Meilenstein erreicht: Der Senatsausschuss stimmte mit 11 zu 1 Stimmen dafür, dass er dem gesamten Senat vorgelegt wird.

Das von den US-Senatoren Gary Peters (Demokratische Partei – Michigan), dem Vorsitzenden des Ausschusses für Innere Sicherheit und Regierungsangelegenheiten, und Josh Hawley (Republikanische Partei – Missouri) geförderte Gesetz scheint auf seltene parteiübergreifende Unterstützung sowohl bei Demokraten als auch bei Republikanern zu stoßen.

Insbesondere würde der Securing Open Source Software Act die Cybersecurity and Infrastructure Security Agency (CISA) mit der Entwicklung eines Risikorahmens beauftragen, um die Verwendung von Open-Source-Code durch die (amerikanische) Bundesregierung zu bewerten. CISA würde ebenfalls prüfen, inwieweit derselbe Rahmen freiwillig von Eigentümern und Betreibern kritischer Infrastrukturen genutzt werden könnte.

Die Gesetzgebung schreibt außerdem vor, dass CISA Fachleute mit Erfahrung in der Entwicklung von Open-Source-Software anstellt, um sicherzustellen, dass die Regierung und die Gemeinschaft zusammenarbeiten, und dass das Office of Management and Budget (OMB) den Bundesbehörden Leitlinien zur sicheren Verwendung von Open-Source-Software vorgibt.

Schließlich würde der Gesetzentwurf das CISA Cybersecurity Advisory Committee dazu verpflichten, einen Unterausschuss für Softwaresicherheit einzurichten.

Das alles stellt zwar einen gewissen Fortschritt dar, doch wie immer steckt der Teufel im Detail. Eine von Lineaje, einem Anbieter einer Plattform zur Sicherung von Software-Lieferketten, durchgeführte Analyse von 41.989 Open-Source-Komponenten, die in die 44 beliebtesten Projekte eingebettet sind, die von der Apache Software Foundation (ASF) verwaltet werden, ergab, dass mehr als ein Viertel (26 %) der bekannten Schwachstellen nicht vom Anwendungsentwicklungsteam, das sie bereitstellt, gepatcht werden können. Darüber hinaus zeigt der Bericht auf, dass es für 64 % der analysierten Schwachstellen noch keinen Patch gibt.

Insgesamt sind 68 % der analysierten Schwachstellen auf Abhängigkeiten zurückzuführen, die entstanden sind, als ein Open-Source-Softwareprojekt eine Komponente oder ein Paket umfasste, die bzw. das von einem anderen Entwickler von Open-Source-Software entwickelt wurde. Selbst wenn ein Unternehmen eine Anwendung aktualisieren wollen würde, die Open-Source-Komponenten enthält, wäre dies in einem solchen Fall wahrscheinlich nicht möglich. Insgesamt kommt der Bericht zu dem Schluss, dass 90 % der Open-Source-Abhängigkeiten in dem Sinne transitiv sind, dass sie entstehen, wenn die Beteiligten eines Projekts eine Open-Source-Komponente einfügten, die von einer anderen Instanz erstellt wurde und Schwachstellen aufweist. Dem Bericht zufolge sind nur 10 % der entdeckten Schwachstellen das Ergebnis einer Abhängigkeit, die ein Anwendungsentwicklungsteam selbst beheben könnte.

Trotz dieser Probleme werden große Anstrengungen unternommen, um Beteiligten von Open-Source-Projekten dabei zu helfen, sicherere Software zu entwickeln. Die Open Source Security Foundation (OpenSSF), ein Zweig der Linux Foundation, leitet eine Initiative zur besseren Sicherung von Open-Source-Software durch den Fokus auf zehn Investitionsströme, die insgesamt mehr als 150 Millionen US-Dollar an Finanzmitteln erfordern, um eine stärkere Akzeptanz von DevSecOps-Best Practices unter den Beteiligten von Open-Source-Softwareprojekten zu fördern.

Leider werden viele Open-Source-Softwareprojekte von einer kleinen Anzahl von Programmierern betreut, die freiwillig ihre Zeit und ihre Arbeit zur Verfügung stellen, um Komponenten zu entwickeln, die andere dann frei verwenden können. Wie bei jedem anderen Entwickler ist das Maß an Sicherheitsexpertise dieser Personen begrenzt. Trotz des Interesses an Open-Source-Software, das vom Kongress und vom Weißen Haus ausgeht, ist für die Verwirklichung dieser Ziele weit mehr erforderlich als die Unterschrift des Präsidenten unter einem Gesetz des Kongresses.

 

 

Mike Vizard

Mike Vizard berichtet seit mehr als 25 Jahren über Themen aus dem IT-Bereich und hat eine Reihe von Publikationen im Bereich Technologie herausgegeben oder zu diesen beigetragen – darunter InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet und Digital Review. Derzeit bloggt er für IT Business Edge und wirkt bei CIOinsight, The Channel Insider, Programmableweb und Slashdot mit. Mike bloggt außerdem über aufkommende Cloud-Technologie für SmarterMSP.

Verbinde dich mit Mike auf LinkedIn oder Twitter.

Verwandte Beiträge:
Die Not bleibt weiterhin die Mutter der Cybersecurity-Erfindung
Die Not bleibt weiterhin die Mutter der Cybersecurity-Erfindung
 Die Durchführungsverordnung von Trump könnte neue Security-Herausforderungen schaffen
Die Durchführungsverordnung von Trump könnte neue Security-Herausforderungen schaffen
 Regulierungsbehörden schlagen einen anderen Ton in Bezug auf Cybersecurity an
Regulierungsbehörden schlagen einen anderen Ton in Bezug auf Cybersecurity an
 Navigieren im API-Release-Zyklus
Navigieren im API-Release-Zyklus
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.