Warum Sie auf Googles Fachwissen im Bereich Cybersicherheit vertrauen sollten

Entwickler und Nutzer von Open-Source-Software sollten sich auf das Fachwissen von Google verlassen, um ihre Initiativen für Cybersicherheit zu stärken. Denn angesichts der Tatsache, dass die Zahl der Cyberangriffe, die auf die Ausnutzung von Schwachstellen im Open-Source-Ökosystem abzielen, bis 2021 um 650 % zunehmen wird, hat Google den neuen Dienst Assured Open Source Software (OSS) angekündigt. Mit diesem Service stellt das Unternehmen seine eigenen Open-Source-Pakete und -Bibliotheken auch anderen Unternehmen zur Verfügung.

In seinem Blog bezeichnet sich Google als einer der größten Verwalter, Beiträger und Nutzer im Bereich Open Source und ist nach eigenen Angaben dabei, dieses Ökosystem sicherer zu machen – unter anderem durch die Teilnahme an der Open Source Security Foundation (OpenSSF), durch Beiträge zur Datenbank für Open Source Vulnerabilities (OSV) sowie OSS-Fuzz. Kürzlich nahm Google gemeinsam mit der OpenSSF, der Linux Foundation und anderen Branchenführern an einem Treffen teil, um Initiativen voranzutreiben, die auf dem White House Summit on Security for Open Source Software im Januar diskutiert wurden.

Die Assured Source Software ermöglicht es, dieselben Open-Source-Software-Sicherheitspakete und -Bibliotheken, die auch Google verwendet, problemlos in die Arbeitsabläufe von Entwicklern einzubinden. Denn die von Google kuratierte Suite verfügt über folgende Eigenschaften:

• Sie wird regelmäßig überprüft, analysiert und getestet, um mögliche Schwachstellen zu ermitteln;
• Sie verfügt über angereicherte Metadaten, die Container- und Artefakt-Analysedaten enthalten;
• Sie wurde mit Cloud Build erstellt und enthält überprüfbare Nachweise für die Einhaltung von SLSA (Supply Chain Levels for Software Artifacts), eine Checkliste für Standards und Kontrollen zur Verhinderung von Manipulationen sowie zur Verbesserung der Integrität und zum Schutz von Paketen oder Infrastruktur;
• Sie ist nachweislich von Google signiert;
• Sie wird von einer durch Google geschützten Artefakt-Registrierung verteilt.

Mit diesen Merkmalen ermöglicht Assured OSS Unternehmen, von Googles Cybersicherheits-Know-how zu profitieren. Darüber hinaus reduziert es die Notwendigkeit, komplexe Prozesse zur Sicherung der Open-Source-Abhängigkeiten zu entwickeln, zu pflegen und zu betreiben.

Assured OSS wird voraussichtlich im 3. Quartal 2022 im Preview-Modus angeboten.

Außerdem kündigten Google und Snyk – ein auf sichere Entwicklungslösungen spezialisiertes Unternehmen – ihre Absicht an, Entwickler aktiv zu unterstützen. Mit ihrer Hilfe sollen sie die Risiken und Auswirkungen ihrer Open-Source-Abhängigkeiten besser verstehen und mit Assured OSS reduzieren. Zu diesem Zweck wird der Dienst in die Lösungen von Snyk integriert. Die Schwachstellen, Trigger-Aktionen und Empfehlungen zur Behebung werden den gemeinsamen Kunden dann im Google Cloud Development Lifecycle Management und in den Sicherheitstools zur Verfügung gestellt – um so die Entwicklererfahrung zu verbessern.

Mit dieser gemeinsamen Initiative sollen die Wahrscheinlichkeit der Übernahme von Open-Source-Software mit kritischen Schwachstellen verringert und die damit verbundenen Auswirkungen potenzieller Mängel schneller erkannt werden. Zudem dienen sie dem Zweck, die Gefährdung durch neue Bedrohungen zu reduzieren und die Automatisierung von Abhilfemaßnahmen zu optimieren.

Sicherheit zu Hause

In der nachstehenden Abbildung sind die verschiedenen Stufen in der Softwarekette zur Ermittlung von Open-Source-Abhängigkeiten dargestellt. Dabei haben Organisationen sehr unterschiedliche Einstiegspunkte in diesen Lebenszyklus. Schließlich erstellen die einen Pakete aus dem Quellcode, während andere Pakete aus vertrauenswürdigen Repositorien verwenden.

Einige Unternehmen, darunter auch Google, zentralisieren die Kontrolle und schützen aktiv jeden Schritt des End-to-End-Prozesses. Google beispielsweise unterhält zunächst separate, sichere Kopien des Quellcodes und führt eigene Schwachstellenscans durch. Außerdem betreibt es kontinuierlich Fuzzing-Tests der 550 meistgenutzten Open-Source-Projekte und fand dadurch allein im Januar 2022 mehr als 36.000 Sicherheitslücken.

Google hat erkannt, dass die meisten Unternehmen nicht über die Ressourcen oder das Fachwissen verfügen, in gleichem Maß für die Open-Source-Sicherheit zu engagieren. So hat der Konzern mit Initiativen wie der Einführung des Assured OSS-Dienstes einen wertvollen Beitrag für das Ökosystem geleistet.