• TWEAK
• Software

Absicherung von Open-Source-Software: Wer ist verantwortlich?

Übersetzen von : Sikring af open source software: Hvem er ansvarlig?

Die US-Regierung und einige der größten Open-Source-Stiftungen und Paket-Repositories haben eine Reihe von Initiativen zur Verbesserung der Sicherheit in der Software-Lieferkette angekündigt und gleichzeitig die Forderung an Entwickler wiederholt, die Unterstützung für solche Bemühungen zu erhöhen.

Auf Regierungsseite gehört dazu ein freiwilliges Programm zum Austausch von Bedrohungsinformationen zwischen den Behörden sowie Entwicklern und Betreibern von Open-Source-Software, das von der US-amerikanischen Cyber Security and Infrastructure Agency (CISA) geleitet wird.

„Wir wollen dazu beitragen, die Zusammenarbeit in Echtzeit bei Sicherheitsvorfällen zu fördern“, erklärte CISA-Direktorin Jen Easterly diese Woche in einer Grundsatzrede auf dem Open Source Software Security Summit der Agentur.

Easterly nutzte seine Rede, um neue öffentlich-private Partnerschaften anzukündigen.

„Wir sind uns bewusst, dass die Zusammenarbeit mit dieser Community ein wenig anders sein wird als die Art und Weise, wie wir normalerweise mit Unternehmen zusammenarbeiten, insbesondere angesichts der einzigartigen internationalen Komplexität, die aufgrund der globalen Natur von Open Source eine Rolle spielt“, bemerkte sie und fügte hinzu: „Ihre Teilnahme und Feedback wird daher entscheidend sein, um sicherzustellen, dass diese Initiative ein Erfolg wird.“

Zusätzlich zur Threat-Sharing-Initiative haben fünf große Open-Source-Software-Organisationen eine Reihe von Schritten zur Verbesserung der Sicherheit ihrer jeweiligen Projekte zugesagt.

Die Rust Foundation wird eine Public-Key-Infrastruktur für das Paket-Repository crates.io zur Spiegelung und Binärsignierung entwickeln. Die Organisation hat außerdem ein Bedrohungsmodell für crates.io und Tools zur Identifizierung schädlicher Pakete veröffentlicht.

Darüber hinaus wird die Python Software Foundation ihre „Trusted Publishing“-Initiative für den Python Package Index (PyPI) auf weitere Anbieter über GitHub hinaus ausweiten. Trusted Publishing ermöglicht es PyPI-Betreuern, ihre Identität über den OpenID Connect (OIDC)-Standard zu überprüfen, der zur Gewährleistung der Identität kurzlebige Identitätstoken anstelle langlebiger Anmeldeinformationen verwendet.

Bei seiner Einführung im April 2023 unterstützte Trusted Publishing GitHub. Auf dem Gipfel gab die Python Software Foundation bekannt, dass sie bald GitLab, Google Cloud und ActiveState unterstützen wird.

Außerdem wird an der Bereitstellung einer API und zugehöriger Tools zur Meldung und Handhabung von Malware in PyPI gearbeitet. Darüber hinaus wird die Indexunterstützung für digitale Bescheinigungen eingestellt. Dies ermöglicht das Hochladen und Verteilen digital signierter Bescheinigungen und der Metadaten, die zur Überprüfung dieser Bescheinigungen verwendet werden, in einem Python-Paket-Repository – wie PyPI.

Packagist und Composer haben kürzlich das Scannen von Schwachstellendatenbanken und andere Maßnahmen hinzugefügt, um zu verhindern, dass Angreifer Pakete unbefugt übernehmen. Die Betreuer der Projekte werden in diesem Jahr auch eine Sicherheitsüberprüfung bestehender Code-Basisstrukturen durchführen.

Maven Central, das größte Open-Source-Paket-Repository für Java- und JVM-Sprachen – verwaltet von Sonatype – stellt Verlage in diesem Jahr auf ein neues Release-Portal mit besserer Archivsicherheit um. Dazu gehört auch die geplante Unterstützung der Multi-Faktor-Authentifizierung (MFA).

Sonatype arbeitet auch mit Schlüsselsicherheit, einschließlich der Sigstore-Implementierung, und wertet Trusted Publishing (das PyPI derzeit bietet) und Namespace-Zugriffskontrolle aus.

Und obwohl es nicht ganz neu ist, begann NPM – das sich selbst als weltweit größte Software-Registrierung bezeichnet – im Jahr 2022 damit, Betreuer von Projekten mit großer Auswirkung zu verpflichten, MFA zu verwenden. Letztes Jahr hat NPM Tools entwickelt, die es Betreuern ermöglichen, automatisch Paketursprünge und Softwarematerialien (SBOMs) zu generieren, die es jedem, der die Open-Source-Pakete verwendet, ermöglichen, Codeabhängigkeiten zu verfolgen und zu überprüfen.