Open Source Security 2022

8 Open-Source-Sicherheitsinitiativen

Unternehmen setzen zunehmend Open-Source-Ressourcen ein. Deshalb wollen Anbieter, Kollektive und Regierungen die Sicherheit quelloffener Software verbessern.
Von 
CSO | 21. September 2022 05:44 Uhr
Um die Sicherheit von Open Source zu verbessern, wurden in diesem Jahr eine Reihe von Initiativen, Projekten und Leitlinien ins Leben gerufen.
Um die Sicherheit von Open Source zu verbessern, wurden in diesem Jahr eine Reihe von Initiativen, Projekten und Leitlinien ins Leben gerufen.
Foto: Ievgeniiya Ocheretna - shutterstock.com

Jüngste Studien haben gezeigt, dass durchschnittlich 70 bis 90 Prozent der Anwendungen aus Open-Source-Software (OSS) bestehen. Dadurch ergeben sich komplexe Sicherheitsrisiken und Herausforderungen. Vor diesem Hintergrund wurden in diesem Jahr eine Reihe von Initiativen, Projekten und Leitlinien ins Leben gerufen, um die Cyber-Resilienz von Open-Source-Code, -Software und -Entwicklung zu verbessern.

"Das Jahr 2022 hat den notwendigen Fokus auf die wichtigen Themen der Open-Source-Sicherheit, inklusive der Sicherheit der Lieferkette, verstärkt", betont David A. Wheeler, Direktor für Open-Source-Sicherheit in der Lieferkette bei der Linux Foundation, gegenüber CSO. "Um eine Veränderung herbeizuführen, benötigen Unternehmen Ressourcen, einschließlich der Zeit und des Geldes der Mitarbeiter", fügt der Experte hinzu.

Hier finden Sie acht wichtige Open-Source-Sicherheitsinitiativen des Jahres 2022:

Open-Source-Sicherheitsgipfel im Weißen Haus

Im Januar lud die US-Regierung Interessenvertreter aus staatlichen Stellen und der Privatwirtschaft ins Weiße Haus ein. Ziel war es, Initiativen zur Verbesserung der Sicherheit von Open-Source-Software und neue Ansätze für die gemeinsame Förderung zu diskutieren. Zu den Teilnehmern des Treffens gehörten die stellvertretende nationale Sicherheitsberaterin für Cyber- und neue Technologien Anne Neuberger und der nationale Cyber-Direktor Chris Inglis. Hinzu kamen Vertreter von Technologieunternehmen wie Akamai, Amazon, Apple, Cloudflare, Facebook/Meta, der Linux Foundation, der Open Source Security Foundation (OpenSSF) und Microsoft.

"Die Teilnehmer führten eine substanzielle und konstruktive Diskussion darüber, wie man die Sicherheit von Open-Source-Software verbessern und gleichzeitig die Open-Source-Gemeinschaft effektiv unterstützen kann", heißt es in einer Mitteilung des Weißen Hauses. Die Diskussion konzentrierte sich demnach auf drei Themen: Sicherheitsmängel und Schwachstellen in Code und Open-Source-Paketen vermeiden, den Prozess zum Auffinden von Mängeln und deren Behebung verbessern sowie die Reaktionszeit für die Verteilung und Implementierung von Korrekturen verkürzen.

"Alle Teilnehmer werden die Diskussionen zur Unterstützung dieser Initiativen in den kommenden Wochen fortsetzen, die allen interessierten öffentlichen und privaten Akteuren offen stehen", heißt es weiter.

OpenSSF und Linux Foundation veröffentlichen Strategieplan

Im Mai veröffentlichten die OpenSSF und die Linux Foundation den "Open Source Software Security Mobilization Plan". Er umreißt eine zehnstufige Strategie mit Schritten, um Open-Source-Software sofort und langfristig zu verbessern. Die Maßnahmen betreffen sowohl die zugrunde liegenden Komponenten als auch den Betrieb. Drei zentrale Sicherheitsziele sind:

  • Die Produktion von Open-Source-Software sichern, indem man sich auf die Vermeidung von Sicherheitsmängeln und Schwachstellen in Code und Open-Source-Paketen konzentriert.

  • Schwachstellen besser entdecken und beheben, indem der Prozess zum Auffinden und Beheben von Fehlern optimiert wird.

  • Reaktionszeiten für Patches im Ökosystem verkürzen durch schnellere Verteilung und Implementierung von Korrekturen.

"Schwachstellen in weit verbreiteter Software stellen eine systemische Bedrohung für die Sicherheit und Stabilität der modernen Gesellschaft dar, da staatliche Dienste, Infrastrukturanbieter, gemeinnützige Organisationen und die überwiegende Mehrheit der privaten Unternehmen auf Software angewiesen sind, um zu funktionieren", schreibt das OpenSSF. Es sei an der Zeit, bewährte Sicherheitspraktiken auf das gesamte Software-Ökosystem, einschließlich Open Source, anzuwenden. Zudem müsse mehr investiert werden, um die Sicherheit zu einem proaktiven Ansatz zu machen, fügte OpenSSF hinzu.

JFrog führt das Projekt Pyrsia ein

Im Mai kündigte JFrog, Anbieter einer DevOps-Plattform, den Start von Project Pyrsia an. Dabei handelt es sich um ein dezentrales, sicheres Build-Netzwerk und Softwarepaket-Repository, das die Blockchain-Technologie nutzt, um Open-Source-Softwarepakete vor Sicherheitslücken und bösartigem Code zu schützen.

Pyrsia soll laut dem Unternehmen Entwicklern dabei helfen, eine Provenienzkette für ihre Softwarekomponenten zu erstellen. Developer-Teams könnten so sicher sein, dass genutzte Oper-Source-Bausteine nicht kompromittiert wurden, ohne komplexe Prozesse für die sichere Verwaltung von Abhängigkeiten erstellen, pflegen oder betreiben zu müssen.

OpenUK startet den Summer of Open-Source Security

Im Juni startete OpenUK aus Großbritannien den "Summer of Open Source Security". Das ist eine zweimonatige Initiative mit Veranstaltungen, Vorträgen und Podcasts zum Thema Open-Source-Software-Sicherheit und Lieferkettenmanagement. In den Gesprächen ging es unter anderem um die Positionierung von Regierungen und Unternehmen auf der ganzen Welt in Bezug auf nationale kritische Infrastrukturen, die auf Open-Source-Software basieren. Zudem wurde die Notwendigkeit, Wartung, Sicherheit und Pflege von Open-Source-Software thematisiert.

"Open Source unterscheidet sich stark von proprietärer Software, unter anderem durch das proprietäre Lizenzgebührenmodell und den damit verbundenen Haftungsausschluss. Dies wirkt sich unmittelbar auf die Grundlage der Risikoabwägung aus, die bei Open-Source-Software und proprietärer Software sehr unterschiedlich ist. Die Gegenleistung für die freie Verteilung des Open-Source-Codes ist der absolute Verzicht auf Haftung", schrieb Amanda Brock, CEO von OpenUK.

GitGuardian kündigt ggcanary-Projekt an

Im Juli kündigte der Anbieter von Code-Sicherheitsplattformen GitGuardian den Start eines Open-Source-Canary-Token-Projekts an. Es soll Unternehmen helfen, gefährdete Entwickler- und DevOps-Umgebungen zu erkennen. Nach Angaben des Unternehmens soll das ggcanary-Projekt Unternehmen dabei unterstützen, Schwachstellen schneller zu erkennen, und umfasst die folgenden Funktionen:

  • Verwendung von Terraform, dem Infrastructure-as-Code-Softwaretool von HashiCorp, zur Erstellung und Verwaltung von AWS-Canary-Tokens;

  • Intrusion Detection, die AWS CloudTrail-Auditprotokolle verwendet, um alle Arten von Aktionen zu verfolgen, die von Angreifern auf Canary-Tokens ausgeführt werden;

  • Skalierbarkeit von bis zu 5.000 aktiven AWS-Canary-Tokens, die an der internen Peripherie eines Unternehmens, in Quellcode-Repositories, CI/CD-Tools, Ticketing- und Messaging-Systemen wie Jira, Slack oder Microsoft Teams bereitgestellt werden;

  • Ein Warnsystem, das mit AWS Simple Email Service (SES), Slack und SendGrid integriert ist. Benutzer können es auch erweitern, um Warnmeldungen an SOCs, SIEMs oder ITSMs weiterzuleiten.

Google startet Bug-Bounty-Programm für Open-Source-Software

Im August startete Google das Open Source Software Vulnerability Rewards Program (OSS VRP), um Entdeckungen von Sicherheitslücken in Googles Open-Source-Projekten zu belohnen. Das OSS VRP soll Forscher dazu ermutigen, Schwachstellen mit den größten realen und potenziellen Auswirkungen auf Open-Source-Software im Google-Portfolio zu melden, wobei der Schwerpunkt auf folgenden Punkten liegt:

  • Alle aktuellen Versionen von Open-Source-Software (einschließlich Repository-Einstellungen), die in den öffentlichen Repositories der Google-eigenen GitHub-Organisationen gespeichert sind;

  • Die Abhängigkeiten dieser Projekte von Drittanbietern (mit vorheriger Benachrichtigung der betroffenen Abhängigkeit vor der Einreichung bei Googles OSS VRP).

"Die höchsten Auszeichnungen gehen an Sicherheitslücken, die in den sensibelsten Projekten gefunden wurden: Bazel, Angular, Golang, Protocol buffers und Fuchsia", erklärte Google und fügte hinzu, dass man sich auf die Entdeckungen konzentrieren wolle, die die größten Auswirkungen auf die Lieferkette haben, und daher folgende Einreichungen begrüße:

  • Schwachstellen, die zu einer Gefährdung der Lieferkette führen;

  • Designprobleme, die Produktschwachstellen verursachen;

  • Andere Sicherheitsprobleme wie sensible oder durchgesickerte Anmeldedaten, schwache Passwörter oder unsichere Installationen.

Die Belohnungen reichen von 100 bis 31.337 US-Dollar, je nach Schweregrad der Schwachstelle und Bedeutung des Projekts, so Google.

CISA und NSA veröffentlichen Sicherheitsrichtlinien für die Lieferkette

Im August haben die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und die Nationale Sicherheitsbehörde der USA (NSA) einen Leitfaden veröffentlicht. Darin wird Entwicklern empfohlen, die Software-Lieferkette in den USA besser abzusichern, wobei ein Schwerpunkt auf Open-Source-Software liegt.

"Entwicklungsorganisationen sollten spezielle Systeme einsetzen, die Open-Source-Bibliotheken herunterladen, scannen und regelmäßig auf neue Versionen, Updates und bekannte oder neue Schwachstellen überprüfen", heißt es in dem Leitfaden. Das Managementteam sollte außerdem Freigabekriterien für Open-Source-Software aufstellen, verwalten und anwenden, so der Leitfaden weiter. Damit soll sichergestellt werden, dass die Freigabe von Open-Source-Software den unternehmensweiten Standards entspricht, einschließlich einer Bewertung der Schwachstellen im Quellcode.

OpenSSF veröffentlicht npm-Best-Practices

Im September veröffentlichte die OpenSSF einen Best Practices Guide für den Paketmanager npm (Node Package Manager). Der Leitfaden soll JavaScript- und TypeScript-Entwicklern helfen, Sicherheitsrisiken zu verringern, die mit der Verwendung von Open-Source-Abhängigkeiten verbunden sind. Der Leitfaden ist ein Produkt der OpenSSF Best Practices Working Group und konzentriert sich auf das Abhängigkeitsmanagement und die Sicherheit der Lieferkette für npm. Er deckt verschiedene Bereiche ab, wie etwa sichere CI-Konfigurationen einrichten, Abhängigkeitsverwechslungen vermeiden und Folgen einer gekaperten Abhängigkeit vermeiden.

Das größte Sicherheitsrisiko, wenn Entwickler Open-Source-Abhängigkeiten verwenden, besteht laut Wheeler von der Linux Foundation darin, dass die Auswirkungen von Schwachstellen in direkten und indirekten Abhängigkeiten unterschätzt werden. "In jeder Software können Schwachstellen auftreten, die bei unzureichender Sorgfalt erhebliche Auswirkungen auf die Lieferkette haben können, die sie nutzt", so der Experte.

Allzu oft seien viele der Abhängigkeiten unsichtbar und weder Entwickler noch Unternehmen würden alle Schichten des Stacks sehen. "Die Lösung ist nicht aufzuhören, Software wiederzuverwenden ; es geht darum, Software mit Bedacht wiederzuverwenden und darauf vorbereitet zu sein, Komponenten zu aktualisieren, wenn Schwachstellen gefunden werden." (jm)

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.

Michael Hill schreibt für unsere US-Schwesterpublikation CSO Online.