Google setzt sich mit großem Nachdruck für einen von der US-Regierung vorgeschlagenen politischen Rahmen ein, der die Sicherheit von Open-Source-Software verbessern soll, und fordert den privaten Sektor auf, die Initiative zu unterstützen.
Der Securing Open Source Software Act wurde letzten Monat im Senat eingeführt [PDF]
ist ein parteiübergreifender Gesetzentwurf, der einen Sicherheits- und Risikominderungsplan für die Nutzung von Open-Source-Software durch die Bundesregierung erstellen würde.
„Wir freuen uns, dass die US-Regierung die Bedeutung der Sicherheit von Open-Source-Software weiterhin betont und hoffen, dass sowohl öffentliche als auch private Organisationen ihrem Beispiel folgen, um eine verbesserte Cybersicherheit für das gesamte Ökosystem zu fördern“, bemerkte Royal Hansen , technischer Vizepräsident des Vertrauens- und Sicherheitsteams von Google, in einem Blogbeitrag vom 27. Oktober.
Open-Source-Softwarecode, also die frei verfügbaren Bausteine für Anwendungen aller Art, ist im Grunde der Motor, der moderne digitale Unternehmen antreibt. Aber böswillig Cyber-Aktivitäten gegen die Software-Lieferkette ist in den letzten Quartalen berüchtigt in die Höhe geschnellt SolarWinds
zu Log4Shell
zu einer Fülle bösartiger und vergifteter Projekte und Pakete, die in vertrauenswürdigen Verzeichnissen auftauchen Code-Repositories wie npm.
Hansen stellte fest, dass „scheinbar einfache Fragen zur Open-Source-Lieferkette immer noch schwer zu beantworten sind“, darunter:
- Enthält ein Projekt bekannte Schwachstellen?
- Befolgen die Betreuer und die Community des Projekts bei der Softwareentwicklung Best Practices für die Sicherheit?
- Welche Open-Source-Abhängigkeiten sind Teil einer bestimmten Software?
- Wie sicher war die Lieferkette im Vertrieb?
Google hat aktiv an der Lösung des Problems gearbeitet, durch Initiativen wie Ausweitung seiner Bug-Bounty-Bemühungen zu Open Source. Die Branche hat sich für Ansätze wie … eingesetzt Software-Stücklisten (SBOMs) und automatisierte Codeüberprüfungen, um anfällige Teile zu erkennen, bevor sie sich zu weit in der Landschaft verbreiten. Auch Google und andere Technologiegiganten haben Millionen in gemeinnützige Organisationen und Softwarestiftungen wie die investiert Open-Source-Sicherheitsstiftung um Open-Source-Ersteller zu unterstützen. Auf der politischen Seite hat die US-Regierung dies getan begrüßte SBOMs unter anderem für Agenturen.
Das neue Bundesgesetz werde, wenn es verabschiedet werde, mehr öffentlich-private Partnerschaften fördern und den öffentlichen Sektor auf noch sinnvollere Weise an den Tisch bringen, so der Technologiegigant.
„Die Sicherung von Open-Source-Software ist eine gemeinsame Verantwortung, und wir freuen uns auf die weitere Zusammenarbeit bei diesem dringenden, kritischen Problem“, sagte Hansen.
