Anfang dieses Jahres erkannte ein Microsoft-Entwickler, dass jemand dies getan hatte eine Hintertür eingefügt in den Code des Open-Source-Dienstprogramms XZ Utils, das in praktisch allen Linux-Betriebssystemen verwendet wird.
Die Operation hatte zwei Jahre zuvor begonnen, als jemand, eine Person mit dem Spitznamen JiaT75, begann, Beiträge zum XZ Utils-Repository auf GitHub zu leisten. Ein Cybersicherheitsexperte nannte diesen Angriff ein „Albtraumszenario“ und „den am besten ausgeführten Supply-Chain-Angriff, den wir je gesehen haben“.
Der Angriff, der auf andere bekannte Cybersicherheitsvorfälle mit Open-Source-Software wie Heartbleed, Shellshock und Log4j folgte, war eine weitere deutliche Erinnerung daran, dass Open-Source-Software angesichts ihrer Verbreitung erhebliche Sicherheitsrisiken bergen kann.
Bei Tech Disrupt 2024: Bogomil Balkansky, Partner bei Sequoia Capital; Aeva Black, Abteilungsleiterin für Open-Source-Sicherheit bei der US-amerikanischen Cybersecurity and Infrastructure Security Agency; und Luis Villa, der Mitbegründer von Tidelift, diskutierten über die Herausforderungen bei der Sicherung von Open-Source-Software.
„Ich sage gerne, dass Open Source nicht so kostenlos ist wie Pizza. Es ist kostenlos wie ein Welpe. Wenn du es mit nach Hause nimmst und es nicht fütterst, frisst es deine Möbel, deine Schuhe“, sagte Black.
Balkansky nannte Open-Source-Software das „Lebenselixier der Software“, was sie „grundlegend und in alles integriert“ macht. Das Problem, fügte Balkansky hinzu, bestehe darin, dass „das Geschäftsmodell für Open Source noch sehr in der Entwicklung“ sei.
Wer sollte sich also darum kümmern und für die Sicherung bezahlen?
Villa und sein Team bei Tidelift schlagen ein Modell vor, bei dem das Unternehmen Open-Source-Betreuer dafür bezahlt, sich um ihren Code zu kümmern, und Partner für die Behebung von Schwachstellen bezahlt.
CISA, erklärte Black, engagiert sich jetztInitiativen starten, um Unternehmen zu sagen, was die besten sind – und das Schlimmste – Sicherheitspraktiken bei der Bereitstellung von Open-Source-Software. „Wir sind hier, um als Mitglied der Open-Source-Community teilzunehmen und mit ihnen zusammenzuarbeiten“, sagte Black, der Open-Source-Software für ein öffentliches Gut hält.
In Bezug auf das weitere Vorgehen sagte Balkansky, dass „die Lösung für Open-Source-Sicherheit, zumindest bis zu einem gewissen Grad, auch Open-Source sein muss“ und warnte, dass „es keine Allheilmittel gibt“.
Villa sagte, dass es einen Bedarf an „mehreren Ansätzen“ und „Tiefenverteidigung“ gebe, was bedeute, dass mehrere Sicherheitsebenen erforderlich seien, um das Open-Source-Ökosystem zu schützen.
Und Black sagte, dass Softwareentwickler wissen müssen, welche Open-Source-Software in ihren Produkten enthalten ist. „Wir brauchen ein besseres Engagement, um es jedem zu ermöglichen, dies mit weniger Aufwand und weniger Belastung für einzelne ehrenamtliche Betreuer und gemeinnützige Organisationen zu tun“, sagte Black.