Die Sicherung der Lieferkette für Open-Source-Software ist ein wichtiges Thema. Letztes Jahr erließ die US-Regierung eine Durchführungsverordnung zur Verbesserung der Sicherheit der Software-Lieferkette. Dies geschah nach dem Ransomware-Angriff auf die Colonial Pipeline, der die Gas- und Öllieferungen im gesamten Südosten der USA zum Erliegen brachte, und dem Angriff auf die Software-Lieferkette von SolarWinds. Die Sicherung von Software wurde zu einer der obersten Prioritäten. Als Reaktion darauf haben sich die Open Source Security Foundation (OpenSSF) und die Linux Foundation dieser Sicherheitsherausforderung gestellt. Jetzt fordern sie 150 Millionen Dollar für zwei Jahre, um zehn große Open-Source-Sicherheitsprobleme zu lösen.
Die Regierung wird die Kosten für diese Änderungen nicht übernehmen. 30 Millionen Dollar wurden bereits von Amazon, Ericsson, Google, Intel, Microsoft und VMWare zugesagt. Weitere sind bereits auf dem Weg. Amazon Web Services (AWS) hat bereits weitere 10 Millionen Dollar zugesagt.
Auf der Pressekonferenz im Weißen Haus sagte der Geschäftsführer von OpenSSF, Brian Behlendorf: „Ich möchte klarstellen, dass wir nicht hier sind, um Geld von der Regierung zu bekommen. Wir sind nicht davon ausgegangen, dass wir uns direkt an die Regierung wenden müssen, um Gelder zu erhalten, wenn wir erfolgreich sein wollen.
Hier sind die zehn Ziele, zu deren Erreichung sich die Open-Source-Branche verpflichtet hat.
Dies ist ein gewaltiges Unterfangen. So weist beispielsweise C, das Kernstück des Linux-Kernels, des wichtigsten aller Open-Source-Projekte, zahlreiche Schwachstellen auf. Die speichersichere Sprache Rust wird zwar jetzt in Linux verwendet, ist aber noch Jahre, ja Jahrzehnte davon entfernt, C in den über 27,8 Millionen Codezeilen von Linux zu ersetzen.
Bei einigen anderen Problemen sind wir bereits kurz davor, eine Lösung zu finden. Das Open-Source-Sicherheitsunternehmen Chainguard fordert die Softwareindustrie auf, Sigstore zu standardisieren. Sigstore ermöglicht es Entwicklern, Software-Artefakte wie Release-Dateien, Container-Images, Binärdateien, Stücklisten und vieles mehr sicher zu signieren. Dieses Projekt der Linux Foundation wird von Google, Red Hat und der Purdue University unterstützt.
Sigstore hat mehrere Funktionen. Dazu gehören:
In der Tat hat Kubernetes Sigstore bereits übernommen. Kurz gesagt, es macht es einfach, eine sichere digitale Signatur für Ihren Code zu verwenden. Dann können die Programmierer, die Ihren Code verwenden, sicher sein, dass es wirklich der Code ist, den sie wollen und dem sie vertrauen können.
Das ist unerlässlich. Stephen Chin, VP of Developer Relations bei JFrog, einem Unternehmen, das sich auf die Sicherheit von Softwareketten spezialisiert hat, sagte: „Open Source wurde zwar schon immer als Keimzelle für die Modernisierung gesehen, aber die jüngste Zunahme von Angriffen auf die Software-Lieferkette hat gezeigt, dass wir einen härteren Prozess zur Validierung von Open-Source-Repositories brauchen.“ Natürlich wird es immer Bugs geben. Wie Behlendorf sagte: „Software wird nie perfekt sein. Die einzige Software, die keine Fehler hat, ist eine Software, die keine Benutzer hat.“
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…