OpenSSF: 150 Millionen US-Dollar sollen Open Source absichern
Amazon, Microsoft, Google und andere wollen das Problem der IT-Security vor allem mit Geld lösen. 30 Millionen US-Dollar dafür stehen schon.
Mit dem Kollaborationsprojekt der Open Source Security Foundation (OpenSSF) wollen Größen der IT-Industrie ihre Security-Praxis vereinheitlichen und so die Open-Source-Welt besser absichern. Ein dafür vorgestellter Zehn-Punkte-Plan der OpenSSF soll im Laufe der kommenden zwei Jahre eine Finanzierungssumme von etwa 150 Millionen US-Dollar dafür umfassen, wie die Organisation mitteilt.
Eine erste Tranche der geplanten Summe stammt dabei von frühen Unterstützern der OpenSSF. Dazu zählen laut Ankündigung Amazon, Ericsson, Google, Intel, Microsoft, und VMware, die dafür zunächst gemeinsam 30 Millionen US-Dollar bereitstellen wollen. Dazu heißt es weiter: “Im Zuge der weiteren Entwicklung des Plans werden weitere Finanzmittel ermittelt, und die Arbeit wird in dem Maße beginnen, wie die einzelnen Finanzströme vereinbart werden.”
Zu den Maßnahmen des Zehn-Punkte-Plans gehören unter anderem eine bessere Ausbildung für die Security, der Aufbau einer Risiko-Analyse für Tausende Open-Source-Komponenten, das Ausrollen digitaler Signaturen für Veröffentlichungen sowie der Ersatz bestehender Komponenten in einer Sprache mit Speichersicherheit. Letzteres wird derzeit bereits von Google vorangetrieben, etwa über ein Rust-Modul für den Apache-Webserver, Rustls oder Rust im Linux-Kernel.
Die OpenSSF setzt außerdem auf Code-Scanning oder das Absichern der sogenannten Software-Supply-Chain, was Paketmanager wie NPM umfasst. Ein großer Teil der Arbeiten wird dabei nicht von der Organisation selbst umgesetzt, sondern von deren Mitgliedsunternehmen. So hat Google eine Open Source Maintenance Crew angekündigt, die gemeinsam mit den Upstream-Projekten an deren Sicherheit arbeiten soll.
Der Beitrag OpenSSF: 150 Millionen US-Dollar sollen Open Source absichern erschien zuerst auf Linux-Magazin.