In den letzten Monaten hat die Open-Source-Community mehrere kritische Ereignisse erlebt, die zu großen Fragen zur Sicherheit von Open-Source-Software geführt haben. Wie können wir bewerten, was derzeit rund um Open-Source-Projekte und Sicherheit passiert, wie können wir diese Projekte nachhaltiger gestalten und was sollten wir in Zukunft tun?
Security Matters
WERDEN SIE ZUM ZERTIFIZIERTEN DATENMANAGEMENT-PROFESSIONAL AUSBILDEN
Unser Online-Schulungsprogramm zur CDMP-Vorbereitung bietet eine solide Grundlage für verschiedene Datendisziplinen.
Von Anfang an sollten wir zwei Dinge anerkennen. Der erste ist, dass Software von Menschen geschrieben wird und Menschen Fehler machen. Das bedeutet, dass es immer Probleme in der Software geben wird, die behoben werden müssen. Zweitens wird Open-Source-Software heute weiter verbreitet als je zuvor. Wenn Probleme entdeckt werden, wirken sie sich auf mehr Organisationen aus.
Ein aktuelles Beispiel dafür ist Apache Log4j, ein Open-Source-Protokollierungstool, das in eine Vielzahl von Softwareprojekten integriert ist. Das Sicherheitsproblem war entdeckt zunächst in Minecraft, bevor das Ausmaß des Problems verstanden und Patches herausgebracht wurden, um das Projekt zu beheben. Das Problem betraf Zehntausende von Organisationen weltweit. Zum Glück – gem Forschungsprojekte von Sophos – der Fehler selbst wurde nicht so weit ausgenutzt wie befürchtet. Dies lag an der schnellen Arbeit, die die Open-Source-Community unternommen hat, um das Problem zu beheben, und daran, wie schnell Organisationen Updates bereitstellen konnten.
Ein paar Wochen später wurden zwei weit verbreitete Javascript-Bibliotheken (colors.js und faker.js) von dem für sie verantwortlichen Betreuer sabotiert, was zu fehlerhaften Anwendungen führte, in denen diese Bibliotheken installiert waren. Er behauptete, er sei es leid, dass andere Unternehmen von seiner Arbeit profitierten. Dieser Vorfall betraf Zehntausende von Websites und Anwendungen weltweit. Die Bibliotheken wurden schnell auf Versionen zurückgesetzt, in denen die Probleme nicht enthalten waren.
Forscher der University of Minnesota versuchten auch zu beweisen, dass es Sicherheitsprobleme bei Open Source gab, indem sie Linux-Kernel-Patches mit enthaltenem bösartigem Code einreichten, um zu sehen, ob sie es durch die verschiedenen Überprüfungsprozesse schaffen würden. In diesem Fall wurden die Probleme schnell erfasst und sie schafften es nicht bis zur Aufnahme. Auch das Forschungsteam der Universität wurde für diesen Ansatz scharf kritisiert, da seine Methodik fehlerhaft war.
All diese Probleme deuten auf ein Sicherheitsproblem hin, für das Open Source kämpfen musste die letzten 20 Jahre. Das Argument war, dass, da Open-Source-Projekte nicht im Besitz einer einzelnen kommerziellen Einheit sind und von dieser verwaltet werden, seltsame und bösartige Dinge leicht in den Quellcode gelangen können.
Was hält die Zukunft für Open Source und Sicherheit bereit?
Um dem entgegenzuwirken, weisen Open-Source-Projekte darauf hin, dass es durch Offenheit einfacher ist, potenzielle Probleme zu erkennen und zu beheben. Theoretisch kann Open-Source-Code von jedem untersucht und verifiziert werden, entweder von den Organisationen selbst oder von Ihnen selbst oder Dritten, denen die Durchführung dieser Arbeit und die Überprüfung seiner Sicherheit für Sie anvertraut wird. Closed-Source-Programme haben nicht den gleichen Ansatz, also müssen Sie darauf vertrauen, dass der Code frei von Problemen ist.
In der Praxis funktioniert dieses „Viel-Augen“-Modell, wenn die Ressourcen zur Verfügung stehen, um die Arbeit auszuführen. Es ist richtig, dies als Arbeit zu definieren – es braucht Erfahrung, Fähigkeiten und Zeit, um diese potenziellen Probleme zu finden. Sie kommen regelmäßig ans Licht – zum Beispiel Qualys gefunden ein Problem im Januar 2022 rund um Polkit, ein Tool, das in jeder Linux-Betriebssystemversion enthalten ist, wo das Problem seit mehr als 12 Jahren bestand. Diese Zeitdauer ist für kein Softwareprojekt ideal, daher muss mehr getan werden, um diese Arbeit für Projektbetreuer und Unternehmen, die diese Tools zu ihrem eigenen Vorteil nutzen, rentabel zu machen.
Um dies im Laufe der Zeit effektiver zu gestalten, trifft sich die US-Regierung bereits mit führenden Persönlichkeiten des Open-Source-Sektors, um zu erörtern, wie man Sicherheitsfragen am besten vorausplanen kann. Dazu gehört die Vorgabe einer Software-Stückliste (SBOM) für alle Projekte von Bundesbehörden, die den Einblick der Teams in alle Abhängigkeiten ihrer Softwareprodukte verbessern wird. Dies erleichtert das Verständnis und die Behebung möglicher Probleme in der Zukunft. Gleichzeitig geht es in diesen Diskussionen darum, wie die Open-Source-Sicherheitsarbeit nachhaltiger gestaltet werden kann.
Open Source wird bereits von Millionen Menschen weltweit vertraut und verwendet. Während Vorfälle wie die oben genannten bestimmte Probleme oder Fehler ins Rampenlicht rücken, gibt es dieselben Probleme auch in nicht-Open-Source-Software und -Diensten. Je mehr Akzeptanz und Benutzer eine bestimmte Software verwenden, desto wirkungsvoller wird ein Problem sein. Wenn Sie in den letzten Jahren auf große Sicherheitsprobleme oder Fehler im Zusammenhang mit Software zurückblicken, werden Sie feststellen, dass diese sowohl in Open-Source- als auch in Closed-Source-Software auftauchen, wie z. B. der Angriff auf Solarwinds.
Als Gemeinschaft können wir es besser machen. Diese Vorfälle geben uns die Gelegenheit, darüber nachzudenken, wie wir Open-Source-Projekte langfristig sicherer, nachhaltiger und sicherer machen können. Erstens brauchen wir Unternehmen, die sich auf Schlüsselkomponenten verlassen, um sich an der Community und diesem bestimmten Projekt zu beteiligen und einen Beitrag zu leisten. Als nächstes müssen wir die Betreuer und Ersteller kritischer Open Source unterstützen. Open-Source-Projekte werden durch aktive Teilnahme besser, und dazu gehört auch die direkte Unterstützung derjenigen, die Projekte betreuen. Die Aufrechterhaltung eines erfolgreichen Projekts muss mehr als nur eine Herzensangelegenheit sein.
Es ist von entscheidender Bedeutung, Zeit und Ressourcen zur Verfügung zu haben, um häufig verwendete Software kontinuierlich zu überprüfen, zu sichern und zu verbessern. Als Community müssen wir eine Haltung einnehmen, die die Sicherheit in Bezug auf Beiträge, die Qualität des Codes und die Überprüfung von Projekten im Laufe der Zeit einfacher und klarer macht. Der Open-Source-Ansatz macht dies in Zukunft für alle einfacher, basierend auf einem nachhaltigeren Ansatz, der sowohl Projektbetreuer und Mitwirkende als auch diejenigen umfasst, die sie verwenden.
