OpenSSF: Projektbewertungen sollen Open-Source-Security verbessern

Die erst im Sommer dieses Jahres gegründete Open Source Security Foundation (OpenSSF) hat eines ihrer ersten eigene Projekte angekündigt: sogenannte Scorecards für Open-Source-Projekte. Mit Hilfe dieser einfach zu verstehenden Wertungskarten sollen sich externe Entwicklungsteams schnell einen Überblick über die Sicherheit und die Pflege von Open-Source-Software verschaffen können, die sie in eigenen Projekten nutzen oder nutzen wollen.

Der Hintergrund dafür ist schlicht die Komplexität moderner Softwareprojekte, die oft sehr hoch ist und auch schnell ansteigt, wenn etwa auf eine Vielzahl Pakete von Programmiersprachen zurückgegriffen wird. So werden vor allem in dem NPM-Ökosystem von Node.js immer wieder Pakete entdeckt, die schwere Sicherheitslücken enthalten, kaum sinnvoll betreut werden oder andere Probleme haben.

Wie Google in seinem Security-Blog schreibt, gebe es zwar wie in jeder anderen Firma auch Richtlinien zur Integration dieser externen Abhängigkeiten. "Dieser Prozess kann jedoch langwierig, manuell und fehleranfällig sein. Darüber hinaus sind viele dieser Projekte und Entwickler ressourcenbeschränkt, und Sicherheit hat häufig eine niedrige Priorität auf der Aufgabenliste", heißt es zur Einordnung von Google. Die Scorecards sollen dabei helfen, diese Probleme zu lösen.

Die Bewertungen für die Open-Source-Projekte werden dabei automatisch anhand bestimmter Kriterien erstellt und sollen in eigenen Einsatzszenarien dabei helfen, "Vertrauen, Risiko und Sicherheitslage" besser einschätzen zu können. "Einige der verwendeten Bewertungsmetriken umfassen genau definierte Sicherheitsrichtlinien, einen Codeüberprüfungsprozess und eine kontinuierliche Testabdeckung mit Werkzeugen zur Analyse von Fuzzing und statischem Code". Die gesamte Liste der bisher vorgesehenen Überprüfungen, die in den Wert der Scorecards einfließen soll, findet sich auf Github. Google kündigt bereits an, diese weiter ausbauen zu wollen.