Der Open-Source-Prozess, mit dem wir Fehler finden und beheben, ist auch der richtige Weg, um Software-Sicherheit in Angriff zu nehmen. Das OpenSSF bietet uns die Möglichkeit, unsere Bemühungen zu koordinieren. [...]
Die Open Source Security Foundation (OpenSSF) ist jetzt ein paar Monate alt, aber die eigentliche Frage ist, warum sie nicht schon einige Jahre alt ist. Nach Jahren, in denen Angreifer Fehler in OpenSSL, Apache Struts und zahllosen anderen Projekten ausgenutzt haben, zusammen mit unserer Faulheit, sie zu patchen, scheint es, dass wir uns schon vor langer Zeit hätten zusammentun müssen, um die Open-Source-Lieferkette zu schützen, von der jedes Unternehmen abhängt. Aber wir haben es nicht getan. Erst im Jahr 2020 haben wir als Industrie beschlossen, unseren Sicherheitsansatz nicht länger stückweise zu verfolgen.
Und warum?
Das ist die Frage, die ich Kim Lewandowski, einer Google-Produktmanagerin und Mitglied des Vorstands von OpenSSF, gestellt habe. Laut Lewandowski „sind wir alle von Open Source abhängig, und es gibt keinen Grund für uns, dass wir alle versuchen, dies einzeln oder in einem Silo zu lösen“. Sie hat Recht, aber warum hat es so lange gedauert, bis wir an diesen Punkt gekommen sind?
Sie und Sie und Sie und Sie und Sie und…
Eines der Probleme mit Open-Source-Sicherheit ist, dass es nicht das Problem eines einzelnen Unternehmens ist. Goldman Sachs zum Beispiel will, dass die Software, von der es abhängt, sicher ist, aber warum soll es die Hauptlast tragen, für sichere Software zu bezahlen, die jeder benutzt? Das Gleiche gilt für Google, das viel Open-Source-Software beigetragen hat und verwendet. Wie Lewandowski erklärte, „wird Google nicht jedes einzelne Open-Source-Softwarepaket, das heute im Internet existiert und das unsere Kunden und wir nutzen, neu schreiben“.
Selbst wenn Google das wollte, könnte es das nicht tun. Es wäre einfach zu viel. Sicher, das Unternehmen könnte OpenSSL oder Apache Struts oder welches Projekt auch immer derzeit gefährdet ist, fixen, aber das Universum des Open-Source-Codes ist gigantisch und erweitert sich ständig.
Das ist einfach keine Aufgabe, die eine Firma vernünftigerweise allein bewältigen kann.
Unterschiedliche Projekte, unterschiedliche Bedürfnisse
Diese Tatsache wird durch die unterschiedlichen Bedürfnisse der einzelnen Projekte erschwert. Laut Lewandowski ist jedes Projekt anders und so bequem es wäre, Geld auf das Sicherheitsproblem zu werfen, funktioniert das nicht unbedingt. „Wir haben einige Bewahrer getroffen, die das Geld nicht wollen oder nicht nehmen können oder es einfach nicht für Dinge einsetzen können, die wir brauchen.“
Andere Projekte brauchen Hilfe bei Sicherheitsüberprüfungen, die das OpenSSF zu ermöglichen plant. Solche Audits finden derzeit innerhalb der CNCF und anderer Stiftungen oder Organisationen statt, aber so, wie sie sind, sind sie unvollständig. Laut Lewandowski „waren die Audits, die wir gesehen haben, großartig und haben eine Menge Dinge aufgedeckt, aber dann können die Projekte wiederum mit einem Haufen Arbeit stecken bleiben, der behoben werden muss, sofern [der Auditor] [die Prüfung] nicht den ganzen Weg bis zur Behebung durchschaut hat“. Und manchmal, so fuhr sie fort, „werden die Leute Fehler beheben, nur um die Prüfung zu bestehen oder als Schnelllösung, und das tiefere zugrunde liegende Sicherheitsproblem ist immer noch da“.
Wie kann sich also eine Gemeinschaft zusammenschließen, um Probleme nicht nur zu finden, sondern auch zu beheben?
Lewandowski erklärte, dass das OpenSSF derzeit verschiedene Modelle erwägt, um Beitragende zur Lösung von Sicherheitslücken zu gewinnen. Es stellt sich jedoch heraus, dass dies nicht unbedingt einfach ist. Einige Unternehmen wollen zum Beispiel das Fachwissen ihrer Ingenieure einbringen, um bei der Behebung der Fehler zu helfen, was großartig ist, aber wie kann OpenSSF sie zur Rechenschaft ziehen? Wenn eine Reihe von Mitgliedsorganisationen jeweils fünf Ingenieure zusichern, zum Beispiel: „Wie wollen Sie Rechenschaft ablegen, damit all diese Ingenieure genau das tun, was wir uns von ihnen innerhalb der Foundation erhofft haben? Dies sind schwierige Probleme, und es wird mehr Hilfe benötigt.
Trotz der gewaltigen Herausforderungen werden Fortschritte verzeichnet. In Partnerschaft mit der ISRG bekommt zum Beispiel das populäre cURL ein neues Backend in Rust geschrieben, das noch mehr Sicherheit verspricht. Eine solche Zusammenarbeit ist ein großartiges Beispiel für die Art von Dingen, die OpenSSF fördern kann.
Aber warum hat es so lange gedauert?
Besser spät als nie
„Es ist irgendwie unheimlich, wie viele Gemeinsamkeiten man mit der aktuellen Pandemie haben kann“, betonte Lewandowski. „Es ist, als hätte sich niemand wirklich darum gekümmert, zu viel dagegen zu unternehmen, bis dieser gewaltige Ausbruch uns alle getroffen hat“, so Lewandowski. Es gab zwar kein auslösendes Ereignis für OpenSSF, aber ein stetiger Trommelschlag hat uns seit Jahren auf die Notwendigkeit aufmerksam gemacht. Von Zeit zu Zeit haben wir reagiert. Der Heartbleed-Rapture von OpenSSL zum Beispiel gab den Anstoß zur Core Infrastructure Initiative, die von der Linux Foundation geleitet wird. Ähnliche Ziele entstanden anderswo als Reaktion auf verschiedene Bedrohungen.
Dennoch handelte es sich dabei immer noch um weitgehend isolierte Bemühungen.
Einige dieser Silos stammen von Firmen, die Open Source in (periodisch nicht so glückseliger) Unwissenheit betreiben. Unternehmen denken vielleicht, dass sie für proprietäre Software bezahlen, aber, wie WhiteSource und andere betont haben, enthalten über 95 Prozent aller Software Open-Source-Komponenten. Unabhängig von der äußeren Lizenz gibt es im Inneren Open Source. Immer.
Diese Tatsache beginnt sich langsam zu verfestigen, so dass jetzt der perfekte Zeitpunkt für das OpenSSF ist, um einen bedeutenden Einfluss auf die Industrie auszuüben. Natürlich ist es, wie Lewandowski betonte: „Es ist ein empfindliches Gleichgewicht, wie man darüber spricht. Man will das Bewusstsein fördern, aber man kann nicht alle abschrecken.
Sagen wir es also so: Open Source ist heute die Grundlage für jede Software, die zunehmend auch in den entlegensten Bereichen unseres Lebens zum Einsatz kommt. Der Prozess hinter Open Source – der Prozess, durch den wir Fehler finden und beheben – ist der richtige Weg, um die Software-Sicherheit anzugehen, aber es könnte so viel besser sein, wenn wir unsere Bemühungen koordinieren. Das OpenSSF bietet uns die Chance dazu und braucht die Beteiligung nicht nur von Software-Anbietern, sondern auch von Unternehmen wie JP Morgan Chase, Facebook, Uber und hoffentlich auch von Ihnen.
*Matt Asay schreibt unter anderem für InfoWorld.com.
Be the first to comment