Tech

Das Weiße Haus schließt sich OpenSSF und der Linux Foundation bei der Sicherung von Open-Source-Software an

Die Sicherung der Lieferkette für Open-Source-Software ist eine große Sache. Im vergangenen Jahr erließ die Biden-Administration eine Durchführungsverordnung zur Verbesserung der Sicherheit der Softwarelieferkette. Dies geschah, nachdem der Ransomware-Angriff Colonial Pipeline Gas- und Öllieferungen im gesamten Südosten und den Angriff auf die Softwarelieferkette von SolarWinds unterbrochen hatte. Das Sichern von Software wurde zur obersten Priorität. Als Antwort, Die Open Source Security Foundation (OpenSSF) und Linux-Stiftung hat sich dieser Sicherheitsherausforderung gestellt. Jetzt fordern sie eine Finanzierung von 150 Millionen US-Dollar über einen Zeitraum von zwei Jahren, um zehn große Open-Source-Sicherheitsprobleme zu beheben.

Sie werden jeden Cent davon brauchen und mehr.

Die Regierung wird die Fracht für diese Änderungen nicht bezahlen. 30 Millionen Dollar wurden bereits zugesagt AmazonEricson, Google, Intel, Microsoft und VMware. Weiteres ist bereits unterwegs. Amazon Web Services (AWS) hat bereits weitere 10 Millionen US-Dollar zugesagt.

Auf der Pressekonferenz im Weißen Haus sagte Brian Behlendorf, General Manager von OpenSSF: „Ich möchte klarstellen: Wir sind nicht hier, um Spenden von der Regierung zu sammeln erfolgreich.”

Hier sind die zehn Ziele, denen sich die Open-Source-Industrie verschrieben hat.

  1. Sicherheitsschulung: Bieten Sie grundlegende Schulungen und Zertifizierungen für sichere Softwareentwicklung für alle an.

  2. Risikobewertung: Richten Sie ein öffentliches, anbieterneutrales, auf objektiven Kennzahlen basierendes Risikobewertungs-Dashboard für die 10.000 (oder mehr) wichtigsten OSS-Komponenten ein.

  3. Digitale Signaturen: Beschleunigen Sie die Einführung digitaler Signaturen bei Softwareversionen.

  4. Speichersicherheit: Beseitigen Sie die Grundursachen vieler Schwachstellen durch den Ersatz von nicht speichersicheren Sprachen.

  5. Incident Response: Richten Sie das OpenSSF Open Source Security Incident Response Team ein, Sicherheitsexperten, die einspringen können, um Open Source-Projekte in kritischen Zeiten bei der Reaktion auf eine Schwachstelle zu unterstützen.

  6. Besseres Scannen: Beschleunigen Sie die Entdeckung neuer Schwachstellen durch Wartungspersonal und Experten durch fortschrittliche Sicherheitstools und fachkundige Anleitung.

  7. Code-Audits: Führen Sie einmal jährlich Code-Reviews (und alle erforderlichen Korrekturarbeiten) von bis zu 200 der kritischsten OSS-Komponenten durch.

  8. Datenfreigabe: Koordinieren Sie die branchenweite Datenfreigabe, um die Forschung zu verbessern, die hilft, die kritischsten OSS-Komponenten zu bestimmen.

  9. Software Bill of Materials (SBOMs): Überall Verbessern Sie die SBOM-Tools und -Schulungen, um die Akzeptanz zu fördern.

  10. Verbesserte Lieferketten: Verbessern Sie die 10 kritischsten Open-Source-Software-Build-Systeme, Paketmanager und Vertriebssysteme mit besseren Sicherheitstools und Best Practices für die Lieferkette.

Ich werde darauf in späteren Geschichten näher eingehen, aber selbst auf den ersten Blick ist dies ein gewaltiges Unterfangen. Zum Beispiel weist C, der Kern des Linux-Kernels, dem wichtigsten aller Open-Source-Projekte, viele Schwachstellen auf. Während die speichersichere Rust-Sprache jetzt in Linux verwendet wird, ist sie noch Jahre, Jahrzehnte davon entfernt, C in den über 27,8 Millionen Codezeilen von Linux zu ersetzen. Tatsächlich bezweifle ich, dass wir jemals den gesamten C-Code von Linux durch Rust ersetzen sehen werden.

Wir sind bereits kurz davor, einige der anderen zu lösen. Das Open-Source-Sicherheitsunternehmen Kettenschutz ruft an Softwareindustrie zur Standardisierung auf Sigstore. Sigstore ermöglicht Entwicklern das sichere Signieren von Softwareartefakten wie Release-Dateien, Container-Images, Binärdateien und Stücklisten. und mehr. Dieses Projekt der Linux Foundation wird unterstützt von GoogleRed Hat und der Purdue University.

Sigstore hat mehrere großartige Funktionen. Diese beinhalten:

  • Das schlüssellose Signieren von Sigstore bietet eine großartige Entwicklererfahrung und macht eine mühsame Schlüsselverwaltung überflüssig.

  • Öffentliches Transparenzprotokoll von Sigstore (Rekor) und APIs bedeuten, dass Kubernetes-Konsumenten signierte Artefakte einfach überprüfen können.

  • Die Verwendung von Standards durch Sigstore, wie z. B. die Unterstützung aller Artefakte der Open Container Initiative (OCI) (einschließlich Container, Helm Charts, Konfigurationsdateien und Richtlinienpakete) und OpenID Connect (OIDC), bedeutet, dass es sich nahtlos in andere Tools und Dienste integrieren lässt.

  • Die aktive, herstellerneutrale Open-Source-Sigstore-Community gibt Zuversicht, dass das Projekt schnell angenommen und zu einem De-facto-Industriestandard werden wird.

In der Tat, Kubernetes hat Sigstore bereits übernommen. Kurz gesagt, es macht es einfach, eine sichere digitale Signatur für Ihren Code anzunehmen. Dann können die Programmierer, die Ihren Code verwenden, sicher sein, dass es wirklich der Code ist, den sie wollen und dem sie vertrauen können.

Das ist wichtig. Als Stephen Chin, Sicherheitsunternehmen für Softwareketten JFrog VP of Developer Relations, sagte: „Während Open Source schon immer als Keim für die Modernisierung angesehen wurde, hat die jüngste Zunahme von Angriffen auf die Software-Lieferkette gezeigt, dass wir einen härteren Prozess zur Validierung von Open-Source-Repositories brauchen.“

Natürlich wird es immer Bugs geben. Wie Behlendorf sagte: „Software wird nie perfekt sein. Die einzige Software, die keine Fehler hat, ist Software ohne Benutzer.“

Ähnliche Beiträge:

Quelle: www.zdnet.com


💙 Intern: Weil wir unabhängig sind, sowie keinen "unendlichen" Gewinn anstreben, geben wir in jedem Monat ungefähr ein drittel, aller Einnahmen aus Werbung und Spenden an die Katastrophenschutzhilfe. 
Wir freuen uns auch über jede kleine Spende z.B. über PayPal.

Ähnliche Artikel.

1 of 697