Google hat Open-Source-Software gerade mit der Einführung spezieller Sicherheits- und Supportteams einen großen Aufschwung gegeben.
Die „Open Source Maintenance Crew“ wird ein neues Entwicklerteam sein, das an Sicherheitsproblemen im Zusammenhang mit Open Source-Projekten arbeiten wird, beispielsweise an der Konfiguration von Updates.
Die Ankündigung erfolgte auf dem Open Source Security Summit im Weißen Haus, bei dem Google sich der Open Source Security Foundation (OpenSSF) und der Linux Foundation anschloss, um Fragen der Open Source-Sicherheit zu diskutieren.
Warum der Umzug?
Bereits im Dezember 2021 schickte der nationale Sicherheitsberater des Weißen Hauses, Jake Sullivan, einen Brief an die CEOs von US-amerikanischen Technologieunternehmen, nachdem die Schwachstelle Log4Shell im beliebten Open-Source-Java-Protokollierungsframework Log4j von Apache entdeckt worden war.
Laut einem Blogbeitrag von Microsoft wurde die Schwachstelle zum Installieren von Malware, zum Kryptomining, zum Hinzufügen der Geräte zu den Mirai- und Muhstik-Botnetzen, zum Löschen von Cobalt Strike-Beacons, zum Scannen nach Offenlegung von Informationen oder für laterale Bewegungen im gesamten betroffenen Netzwerk genutzt.
„Bei diesem Problem der Sicherung von Open-Source-Software geht es nicht nur um Geld, bei vielen kritischen Open-Source-Projekten geht es um die Anzahl der beteiligten Personen und darum, wie viel Zeit sie für die Arbeit aufwenden können“, sagte Principal Engineer of Open Source Security bei Google, Abhishek Arya.
„Selbst mit mehr Mitteln brauchen wir Kapazitäten, um dieses Geld den richtigen Zielen zuzuführen. Das ist sowohl ein Menschenproblem als auch ein Geldproblem.“
Er fügte hinzu: „Um diese Herausforderung sinnvoll anzugehen, hat Google die ‚Open Source Maintenance Crew‘ mit Ressourcen ausgestattet, mit der Idee, dass eine Organisation wie OpenSSF die Gruppe verwalten und als Partner für kritische Projekte dienen könnte.“
Der Schritt erfolgt, da die Einführung von Open Source in der IT-Community an Dynamik und Unterstützung gewinnt und Anwendungsfälle wie die Online-Zusammenarbeit ihre Beliebtheit steigern.
Die jüngste Bericht zum Stand von Open Source 2022 Die von OpenLogic durchgeführte Studie befragte 2,660 Fachleute und ihre Organisationen, die Open-Source-Tools verwenden. Dabei kam heraus, dass über ein Viertel (27 %) angab, überhaupt keine Vorbehalte gegenüber solchen Tools zu haben, während nur 13.9 % besorgt waren, dass sie unsicher und ungetestet seien.