Open Source Vulnerability-Website von Google
Open-Source-Sicherheit: Google veröffentlicht neues Tool, um Open-Source-Sicherheitslücken leichter zu erkennen
Open-Source-Software bildet das Herzstück moderner Software, auch in ihren kommerziellen Varianten
Google hat vor kurzem ihre neue Open Source Vulnerabilities (OSV)-Website vorgestellt, die auch eine Schwachstellendatenbank enthält. Ziel ist es, Fehler in Open-Source-Projekten durch Automatisierung zu beheben und Betreiber wie Nutzer von Open Source gleichermaßen zu unterstützen.
Laut Google ist es für Benutzer von Open Source Software schwierig, einer Schwachstelle einen Common Vulnerabilities and Exposures (CVE)-Eintrag innerhalb der verwendeten Paketversion zuzuweisen. Das liegt daran, dass Versionsschemata in vorhandenen Schwachstellenstandards nur unzureichend mit den tatsächlichen Open-Source-Versionsschemata übereinstimmen, die normalerweise Versionen/Tags und festgeschriebene Hashes sind. Google warnt in diesem Zusammenhang davor, dass Schwachstellen übersehen werden könnten, was dann auch die Konsumenten beeinträchtigt.
Außerdem finanziert Google bereits Open-Source-Projekte, um von fehlerhaftem C-Code auf die Programmiersprache "Rust” umzustellen. Ebenso schlug Google ein Rahmenwerk für die Open Source Community vor, das Kriterien liefert, welche Projekte als "kritisch" eingestuft werden sollten. Das Ganze gekoppelt mit strengeren Regeln für Projektentwickler.
Dazu ein Kommentar von Tim Mackey, Principal Security Strategist bei Synopsys:
"Open-Source-Software bildet das Herzstück moderner Software, auch in ihren kommerziellen Varianten. Bei 10 Millionen Repositories auf GitHub, die täglich wachsen, ist es kaum mehr möglich, Schwachstellen zuverlässig zu identifizieren und nachzuverfolgen. Wer Open-Source-Projekte betreut, kämpft nicht selten damit, die Anforderungen der Benutzer mit der verfügbaren Energie der Entwickler in Einklang zu bringen. Schließlich werden die meisten Projekte von Freiwilligen und nicht von einem Unternehmen mit den entsprechenden Ressourcen betrieben. Selbst wenn ein Projektbetreuer die Absicht hat, ein Sicherheitsproblem in allen betroffenen Versionen des Projektcodes zu beheben, fehlen in der Realität oftmals die Ressourcen, um eine umfassende Liste der betroffenen Projekte zu erstellen, geschweige denn alles zu entwickeln und zu patchen.
Die Open Source Vulnerability-Website von Google unterstützt Verantwortliche für Open-Source-Projekte dabei, die von Sicherheitsproblemen betroffenen Versionen zu identifizieren. Gleichzeitig dient sie als Repository für Details zu potenziellen Patches. Da ein Großteil der OSV-Daten von OSS-Fuzz stammt, ist das ein wichtiger Meilenstein in Googles Bemühungen, Sicherheitsprobleme in kritischen Open-Source-Projekten innerhalb moderner Infrastrukturen zu adressieren."
(Synopsys: ra)
eingetragen: 01.03.21
Newsletterlauf: 11.05.21
Synopsys: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.