Software ist das Herzstück aller modernen Unternehmen und in jedem Aspekt des Betriebs von entscheidender Bedeutung. Nahezu jedes Unternehmen nutzt bewusst oder unbewusst Open-Source-Software, da selbst proprietäre Software auf Open-Source-Bibliotheken angewiesen ist. OpenUKs Der „State of Open“-Bericht aus dem Jahr 2022 ergab, dass 89 % der Unternehmen auf Open-Source-Software setzten, aber nicht alle von ihnen sind sich über die Details der Software, auf die sie sich verlassen, im Klaren.
Unternehmen fordern zunehmend mehr Informationen über ihre betriebskritische Software. Verantwortungsbewusste Unternehmen beschäftigen sich detailliert mit ihrer Software-Lieferkette und erstellen für jede Anwendung eine Software-Stückliste (SBOM). Dieser Informationsstand ist von entscheidender Bedeutung, damit sie bei der Entdeckung von Sicherheitslücken in ihrer Software sofort sicher sein können, welche Software und Versionen im Einsatz sind und welche Systeme betroffen sind. Wissen ist in diesen Situationen Macht!
Auf Freiwillige angewiesen
Ende 2021 wurde eine Sicherheitslücke bekannt Log4Shell wurde in einem weit verbreiteten Java-Protokollierungsframework, Log4j, identifiziert. Da es sich um eine weit verbreitete Open-Source-Bibliothek handelt, wurde die Schwachstelle ausführlich bekannt gemacht und es wurden Korrekturen erwartet. Allerdings ist die Die Betreuer des Projekts waren Freiwillige. Sie hatten Tagesjobs und waren nicht für dringende Sicherheitskorrekturen auf Abruf, selbst wenn eine große Anzahl von Systemen betroffen war. Schätzungen zufolge waren allein von dieser Schwachstelle 93 % der Cloud-Umgebungen von Unternehmen betroffen.
Damals gab es einige negative Kritiken über Open Source, aber die Wahrheit ist, dass, wenn es sich um eine Closed-Source-Komponente handelte, die Schwachstelle möglicherweise nie öffentlich bekannt geworden wäre, sodass Organisationen anfällig für Angriffe wären. Der Open-Source-Charakter der Bibliothek bedeutete, dass sie eingesehen, Probleme gefunden und Ratschläge von anderen gegeben werden konnte. Also, ja, die Betreuer waren bei Sicherheitsproblemen in ihrem Freiwilligenprojekt nicht auf Abruf. Die große Frage lautet also: Wie sind wir in eine Situation geraten, in der große Unternehmen auf Software angewiesen waren, für die jemand verantwortlich war, der etwas anderes tut, um seine Rechnungen zu bezahlen?
Die Vernachlässigung von Softwareabhängigkeiten ist unabhängig von der Lizenz der Software ein riskantes Unterfangen, aber wenn sie Open Source ist und sehr weit verbreitet ist, wird es besonders gefährlich. Bleiben wir bei der Geschichte einer Schwachstelle; Das Problem existierte schon seit Jahren in der Codebasis, wurde aber nicht entdeckt. Das Tool, das so weit verbreitet war, wurde tatsächlich nicht so weithin unterstützt – und Was dann geschah, ist Geschichte.
Diese Geschichte wiederholt sich immer wieder in so vielen Unternehmen, die kritische Abhängigkeiten haben, aber weder die Betreuer noch die Projekte selbst unterstützen. Eine SBOM für die von einem Unternehmen verwendete Software bedeutet, dass sie über die erforderlichen Informationen verfügt. Für Organisationen, die Software an andere liefern, wird die Erwartung, neben dem Code auch die SBOM bereitzustellen, zunehmend zur Norm.
Kennen Sie Abhängigkeiten, um das Risiko einzuschätzen
Wenn Sie die Abhängigkeiten kennen, können Sie das damit verbundene Risiko leichter einschätzen. Diese Open-Source-Projekte lassen sich am einfachsten beurteilen: Wurden auf Probleme reagiert und gab es in letzter Zeit irgendwelche Veröffentlichungen? Die Möglichkeit, die Betreuer und Projektaktivitäten für jedes Projekt zu sehen, gibt einen guten Einblick in den Zustand des Projekts.
Unternehmen können ihren Teil zur Risikominderung beitragen, indem sie die Projekte unterstützen, auf die sie angewiesen sind. Einige Projekte akzeptieren Sponsoring direkt über das GitHub Sponsors-Programm, andere freuen sich möglicherweise stattdessen über Hosting-Angebote oder ein Sicherheitsaudit. Jedes Open-Source-Projekt freut sich über Beiträge. Wenn Ihr Unternehmen diese Bibliothek selbst erstellt hätte, müssten die Ingenieure im Unternehmen jeden Fehler selbst beheben.
Open Source ähnelt eher einem Shared-Ownership-System. Wir müssen nicht alle immer wieder das Gleiche bauen, sondern können einen Beitrag leisten, was sowohl weniger Aufwand bedeutet als auch zu einer besseren Qualität führt. Eines der wirkungsvollsten Dinge, die Unternehmen tun können, ist, einen kleinen Teil ihrer technischen Ressourcen zu nutzen Tragen Sie zu Fehlerbehebungen oder Funktionen für Projekte bei die so zentral für das Geschäft sind.
Beteiligen Sie Ihre eigenen Ingenieure an einem Projekt hat viele Vorteile. Sie lernen es kennen und können neue Funktionen im Auge behalten oder wissen, wann eine neue Version verfügbar ist. Entscheidend ist, dass das Unternehmen Einblick in die Gesundheit und den Status des abhängigen Projekts hat und Teil dessen ist, was es gesund hält, wodurch das Risiko eines Problems mit einer Abhängigkeit für das Unternehmen verringert wird. Eine Reihe von Organisationen, darunter auch Aiven, verfügen über ein OSPO (Open-Source-Programmbüro), dessen Mitarbeiter sich der Aufgabe widmen, zu den von der Organisation genutzten Projekten beizutragen oder diese sogar zu pflegen. Diese Abteilungen tragen häufig zur allgemeinen Präsenz des Unternehmens im Open-Source-Ökosystem bei und ermöglichen anderen Mitarbeitern die Beschäftigung mit Open Source.
Ein anderer Ansatz besteht darin, die Organisationen zu unterstützen, die Open Source unterstützen. Der OpenSSF (Open Source Security Foundation) arbeitet daran, die Sicherheit von Open-Source-Projekten zu verbessern und wird von den Organisationen finanziert, die von diesen Projekten abhängig sind. Darüber hinaus werden hervorragende Lernressourcen veröffentlicht, damit sich Unternehmen über die Risiken der von ihnen verwendeten Software informieren können. Eine weitere ähnliche Organisation ist Tidelift, das mit Betreuern zusammenarbeitet, um sicherzustellen, dass bestimmte Grundanforderungen erfüllt werden, wiederum finanziert von den Organisationen. Tidelift bietet außerdem Tools und Schulungen, um Unternehmen bei der Verwaltung ihrer Software-Lieferkette und der Einführung bewährter Verfahren in diesem Bereich zu unterstützen.
Sicherung einer sichereren Software-Zukunft
Unternehmen sind auf Software angewiesen, und dazu gehört auch Open-Source-Software, die weit verbreitet und in der Regel sicherer als proprietäre Alternativen ist.
Dies ist ein kluger Schachzug, aber ein noch klügerer Schachzug besteht darin, klare Kenntnisse über die Software-Lieferkette und ihre Abhängigkeiten zu haben. Wenn ein Problem auftritt, ist es für jedes Unternehmen hilfreich, sich auf gesunde Projekte zu verlassen und die Details Ihrer Software zur Verfügung zu haben. Wenn jede Organisation dies tun würde, wäre das Risiko von Ereignissen wie der Log4Shell-Schwachstelle geringer.
