US-Regierung unterstützt Linux Foundation

Die Sicherung der Lieferkette für Open-Source-Software ist ein wichtiges Thema. Letztes Jahr erließ die US-Regierung eine Durchführungsverordnung zur Verbesserung der Sicherheit der Software-Lieferkette. Dies geschah nach dem Ransomware-Angriff auf die Colonial Pipeline, der die Gas- und Öllieferungen im gesamten Südosten der USA zum Erliegen brachte, und dem Angriff auf die Software-Lieferkette von SolarWinds. Die Sicherung von Software wurde zu einer der obersten Prioritäten. Als Reaktion darauf haben sich die Open Source Security Foundation (OpenSSF) und die Linux Foundation dieser Sicherheitsherausforderung gestellt. Jetzt fordern sie 150 Millionen Dollar für zwei Jahre, um zehn große Open-Source-Sicherheitsprobleme zu lösen.

Die Regierung wird die Kosten für diese Änderungen nicht übernehmen. 30 Millionen Dollar wurden bereits von Amazon, Ericsson, Google, Intel, Microsoft und VMWare zugesagt. Weitere sind bereits auf dem Weg. Amazon Web Services (AWS) hat bereits weitere 10 Millionen Dollar zugesagt.

Auf der Pressekonferenz im Weißen Haus sagte der Geschäftsführer von OpenSSF, Brian Behlendorf: „Ich möchte klarstellen, dass wir nicht hier sind, um Geld von der Regierung zu bekommen. Wir sind nicht davon ausgegangen, dass wir uns direkt an die Regierung wenden müssen, um Gelder zu erhalten, wenn wir erfolgreich sein wollen.

Hier sind die zehn Ziele, zu deren Erreichung sich die Open-Source-Branche verpflichtet hat.

• Sicherheitsausbildung: Bereitstellung einer grundlegenden Ausbildung und Zertifizierung für sichere Softwareentwicklung für alle.
• Risikobewertung: Einrichtung eines öffentlichen, anbieterneutralen, auf objektiven Kennzahlen basierenden Dashboards zur Risikobewertung für die 10.000 (oder mehr) wichtigsten OSS-Komponenten.
• Digitale Signaturen: Beschleunigung der Einführung digitaler Signaturen bei Softwareversionen.
• Speichersicherheit: Beseitigung der Ursachen vieler Schwachstellen durch den Ersatz von nicht speichersicheren Sprachen.
• Reaktion auf Zwischenfälle: Einrichtung des OpenSSF Open Source Security Incident Response Teams, Sicherheitsexperten, die Open-Source-Projekten in kritischen Zeiten bei der Reaktion auf eine Schwachstelle zur Seite stehen können.
• Besseres Scannen: Beschleunigung der Entdeckung neuer Schwachstellen durch Maintainer und Experten durch fortschrittliche Sicherheitstools und fachliche Anleitung.
• Code-Prüfungen: Führen Sie einmal pro Jahr für bis zu 200 der kritischsten OSS-Komponenten Code-Reviews durch Dritte durch (und nehmen Sie die erforderlichen Korrekturmaßnahmen vor).
• Gemeinsame Nutzung von Daten: Koordinierung des branchenweiten Datenaustauschs zur Verbesserung der Forschung, die zur Ermittlung der kritischsten OSS-Komponenten beiträgt.
• Software Bill of Materials (SBOMs): Verbesserung der SBOM-Werkzeuge und -Schulungen, um die Akzeptanz zu fördern.
• Verbesserte Lieferketten: Verbesserung der 10 kritischsten Open-Source-Software-Build-Systeme, Paketmanager und Distributionssysteme mit besseren Tools und Best Practices für die Sicherheit der Lieferkette.

Dies ist ein gewaltiges Unterfangen. So weist beispielsweise C, das Kernstück des Linux-Kernels, des wichtigsten aller Open-Source-Projekte, zahlreiche Schwachstellen auf. Die speichersichere Sprache Rust wird zwar jetzt in Linux verwendet, ist aber noch Jahre, ja Jahrzehnte davon entfernt, C in den über 27,8 Millionen Codezeilen von Linux zu ersetzen.

Bei einigen anderen Problemen sind wir bereits kurz davor, eine Lösung zu finden. Das Open-Source-Sicherheitsunternehmen Chainguard fordert die Softwareindustrie auf, Sigstore zu standardisieren. Sigstore ermöglicht es Entwicklern, Software-Artefakte wie Release-Dateien, Container-Images, Binärdateien, Stücklisten und vieles mehr sicher zu signieren. Dieses Projekt der Linux Foundation wird von Google, Red Hat und der Purdue University unterstützt.

Sigstore hat mehrere Funktionen. Dazu gehören:

• Schlüsselloses Signieren bietet ein großartiges Entwicklererlebnis und beseitigt die Notwendigkeit einer mühsamen Schlüsselverwaltung.
• Das öffentliche Transparenzprotokoll (Rekor) und die APIs von Sigstore bedeuten, dass Kubernetes-Kunden signierte Artefakte leicht überprüfen können.
• Die Verwendung von Standards wie die Unterstützung aller Open Container Initiative (OCI)-Artefakte (einschließlich Containern, Helm Charts, Konfigurationsdateien und Policy-Bundles) und OpenID Connect (OIDC) bedeutet, dass sich Sigstore nahtlos in andere Tools und Dienste integrieren lässt.
• Die aktive, quelloffene und herstellerneutrale Sigstore-Community ist zuversichtlich, dass das Projekt schnell angenommen und zu einem De-facto-Industriestandard werden wird.

In der Tat hat Kubernetes Sigstore bereits übernommen. Kurz gesagt, es macht es einfach, eine sichere digitale Signatur für Ihren Code zu verwenden. Dann können die Programmierer, die Ihren Code verwenden, sicher sein, dass es wirklich der Code ist, den sie wollen und dem sie vertrauen können.

Das ist unerlässlich. Stephen Chin, VP of Developer Relations bei JFrog, einem Unternehmen, das sich auf die Sicherheit von Softwareketten spezialisiert hat, sagte: „Open Source wurde zwar schon immer als Keimzelle für die Modernisierung gesehen, aber die jüngste Zunahme von Angriffen auf die Software-Lieferkette hat gezeigt, dass wir einen härteren Prozess zur Validierung von Open-Source-Repositories brauchen.“ Natürlich wird es immer Bugs geben. Wie Behlendorf sagte: „Software wird nie perfekt sein. Die einzige Software, die keine Fehler hat, ist eine Software, die keine Benutzer hat.“