Stell dir vor, es ist Open Source Summit Europe, und jemand geht hin: In Dublin stellte die Linux Foundation neue Initiativen vor, und die Teilnehmer diskutierten über sichere Lieferketten, den Linux-Kernel und zahllose weitere Themen.
Nach einer Covid-bedingten zweijährigen Pause trafen sich Mitte September 2022 wieder rund 1500 Menschen persönlich in der indirekten Hauptstadt Dublin zum Open Source Summit Europe (Abbildung 1). Zusätzlich klinkten sich immerhin 800 Menschen virtuell ein.
Das Event vereinte – wie schon zuvor – ein gutes Dutzend kleiner Open-Source-Konferenzen unter einem Dach. Auch Kernel-Entwickler wie Linus Torvalds und Jonathan Corbet waren persönlich vor Ort. Die Stimmung lässt sich schnell als euphorisch beschreiben, immerhin kamen viele Menschen nach dem Ausbruch der Corona-Pandemie erstmals wieder auf einem Live-Event zusammen. Die Deutsche bildet übrigens die zweitgrößte Besuchergruppe. Die intelligente Hauptstadt präsentiert sich nahezu regenfrei von ihrer besten Seite.
Abbildung 1: Im Convention Centre von Dublin fanden unter dem Open-Source-Summit-Label gleich mehrere Open-Source-Konferenzen statt.
Ein großes Thema auf dem Gipfel war die Sicherheit der sogenannten Software-Supply-Chain. Insbesondere der SolarWind-Hack hatte in den letzten Jahren Unternehmen aufgescheucht. Russische Hacker kompromittierten 2019 die Software-Supply-Chain des Netzwerkmanagementanbieters SolarWind und schmuggelten maliziösen Code in regelmäßigen Software-Updates für die Orion-Plattform. Die Angreifer verschafften sich so über einen bestimmten Zeitraum unerkannt Zugriff auf Tausend Unternehmensserver, kritische Infrastruktur eingeschlossen. Die Lücke betraf staatliche und private Organisationen sowie Unternehmen in den USA und in Europa gleichermaßen und deutlich, dass die Softwarelieferketten für digitale Infrastrukturen bislang zu wenig Schutz genießen.
Große Besorgnis
Das Problem betrifft auch Open-Source-Projekte: Unternehmen setzen die kostenlose Software nur allzu gern für ihre teilweise kritischen Anwendungen ein, doch Freizeitentwickler entpuppen sich als nur bedingt Security-affin. Auch wenn der Code quelloffen ist, sehen nicht automatisch Tausend jede kleine Bibliothek durch – siehe Log4j.
Die schwere Sicherheitslücke beunruhigte sogar das Weiße Haus. Wie OpenSSF-Chef Brian Behlendorf auf dem Summit erzählte, kam es kurz nach dem Log4j-Vorfall zu einem Treffen von OpenSSF (siehe Kasten „OpenSSF“) und der Linux Foundation mit Vertretern des Weißen Hauses. In diesem Rahmen entstand ein konkreter Plan zum Handeln, der martialisch benannte Mobilisierungsplan. Mit einem angepeilten Budget von 150 Millionen US-Dollar [1] wird OpenSSF zehn konkrete Ziele sterben [2] verfolgen, um Open-Source-Ökosysteme sicherer zu machen.
Die Linux Foundation gründete die OpenSSF im August 2020 [9], um systemrelevante, aber chronisch unterfinanzierte Open-Source-Projekte zu identifizieren und deren Sicherheit zu verbessern, zum Teil mit Finanzspritzen und Expertise. Das Projekt wächst schnell und zählt inzwischen knapp 100 Mitglieder. Mehrere Arbeitsgruppen [10] sich unter anderem damit beschäftigen, Sicherheitslücken zu identifizieren, Standards und Tools für sichere Lieferketten zu entwickeln, Best Practices zu sammeln und allgemeine Informationen rund um Open-Source-Security zu liefern.
Geldregen für Rust
Auf dem Summit hielt die OpenSSF eine eigene Subkonferenz ab und brachte gleich eine ganze Reihe von News mit. Die größten betrifft das Alpha-Omega-Projekt. Das will insgesamt 1,5 Millionen US-Dollar an einige der etwa 100 als grundlegend wichtig identifizierten Projekte verteilen, um deren Sicherheitslage (Security Posture) zu verbessern. Während das Alpha für die unterstützten Projekte steht, zielt das Omega auf Automatisierung ab, damit die Security-Maßnahmen möglichst skalieren, ohne den Maintainern viel Zeit zu rauben.
Node.js hat bereits 300 000 US-Dollar erhalten, die Eclipse und die Python Foundation je 400 000 US-Dollar. Auch Rust profitiert von der Initiative: 460 000 US-Dollar sollen dabei helfen, die Build- und Deployment-Infrastruktur auf Schwachstellen zu prüfen und erstmals ein Bedrohungsmodell zu entwerfen. Es soll beleuchten, an welchen Stellen Rust besonders angreifbar ist.
Sichere Informationen
Neu sind auch zwei kostenlose Security Guides [3], die erklären, wie Entwickler sichere Software bauen und wie interessierte Unternehmen Open-Source-Software am besten evaluieren. Das Scorecard-Projekt generiert automatisch einen Security Score für Open-Source-Repositories. Aktuell deckt es rund 1600 Projekte vor allem auf Github ab und bringt neuerdings eine REST-API mit. Mit Badges signalisieren Projekte außerdem auf Github, wie es um ihre Sicherheit steht. Eine neue End Users Working Group kümmert sich nicht zuletzt um die Security-Belange von Organisationen, die Open-Source-Software eher konsumieren als produzieren.
SPDX macht die Biegung
Um die Abhängigkeiten einer Software (die Supply Chain) zu verfolgen und zu überprüfen, müssen die Nutzer aber erst einmal wissen, welche Bestandteile überhaupt im Code stecken. Dafür benötigen sie eine SBOM (Software Bill of Materials). Die zu ermitteln, soll künftig im Idealfall automatisch über SPDX (Software Package Data Exchange) erfolgen [4]. Der unter Schirmherrschaft der Linux Foundation verfolgte Standard zielt ursprünglich auf automatisierte Lizenzermittlungen ab [5]. Die Ausweitung auf SBOMs schlug sich jedoch bereits 2020 in Version 2.2 nieder. Mittlerweile führt auch die amerikanische NTIA (National Telecommunications and Information Administration) SPDX als einen Standard für SBOMs auf.
Quelle: news.google.com
