{"id":3570,"date":"2022-01-20T14:12:31","date_gmt":"2022-01-20T14:12:31","guid":{"rendered":"https:\/\/network-king.net\/treffen-im-weissen-haus-diskutiert-open-source-sicherheit\/"},"modified":"2022-01-20T15:13:02","modified_gmt":"2022-01-20T15:13:02","slug":"treffen-im-weissen-haus-diskutiert-open-source-sicherheit","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/treffen-im-weissen-haus-diskutiert-open-source-sicherheit\/","title":{"rendered":"Treffen im Wei\u00dfen Haus diskutiert Open-Source-Sicherheit"},"content":{"rendered":"\n

Die Open-Source-Java-Bibliothek Log4j<\/a> wurde von der Apache Foundation entwickelt. Entwickler nutzen sie, um zu verfolgen, was mit Anwendungen und Diensten im Internet geschieht. Der j\u00fcngste Schwachstellen-Fall bei Log4j war ein Weckruf hinsichtlich der Bedeutung von Open-Source-Sicherheit und Software-Lieferketten.<\/p>\n\n\n\n

Deshalb haben das Wei\u00dfe Haus und einige Tech-Giganten beschlossen, Initiativen zur raschen Verbesserung der Open-Source-Sicherheit zu diskutieren. In einem Einladungsschreiben<\/a> zu dem Treffen erkl\u00e4rte der nationale Sicherheitsberater Jake Sullivan, dass die \u201eOpen-Source-Software ein wichtiges Anliegen der nationalen Sicherheit ist\u201c. Denn f\u00fcr die US-Regierung ist diese Softwarekategorie in allen Bereichen der Wirtschaft und sogar in der nationalen Sicherheits-Community der USA allgegenw\u00e4rtig. Aufgrund der hohen Verbreitung und der vielen Freiwilligen, die f\u00fcr die laufende Wartung von Open-Source-Software verantwortlich sind, stellt sie jedoch besondere Sicherheitsanforderungen.<\/p>\n\n\n\n

Diese drei Themen standen auf der Tagesordnung<\/a>: Die Vorbeugung von Sicherheitsm\u00e4ngeln und Schwachstellen, die Verbesserung des Verfahrens zur Ermittlung und Behebung von Problemen sowie die Verk\u00fcrzung der Reaktionszeit f\u00fcr die Verteilung und Implementierung von Korrekturen.<\/p>\n\n\n\n

Im Hinblick auf das erste Thema wurde besprochen, wie die Entwicklung von sicheren Codes durch die Integration von Sicherheitsfunktionen in Softwareentwicklungswerkzeugen sowie der Schutz der Infrastruktur f\u00fcr die Speicherung und Verteilung der Codes erleichtert werden kann. Das k\u00f6nnte z. B. durch die Verwendung von Code Signing und st\u00e4rkeren digitalen Identit\u00e4ten gelingen. <\/p>\n\n\n\n

Beim zweiten Thema wurde diskutiert, wie die wichtigsten Open-Source-Projekte priorisiert und nachhaltige Mechanismen zu ihrer Pflege eingef\u00fchrt werden k\u00f6nnen. Der letzte Punkt befasste sich mit der Frage, wie der Inhalt der Software, die wir kaufen und verwenden, einfacher erfasst werden kann.<\/p>\n\n\n\n

In einer Pressekonferenz nach dem Treffen hob Sullivan<\/a> die Bem\u00fchungen der Regierung hervor, das Sicherheitsproblem von Open-Source-Software anzugehen. Dabei verwies er auf die Verf\u00fcgung des US-Pr\u00e4sidenten vom Mai letzten Jahres, in der er das NIST (National Institute of Standards and Technology) aufforderte, Leitlinien zu entwickeln. In diesem Zug sollen Praktiken zur besseren Sicherung der Software-Lieferkette mittels Standards, Verfahren oder Kriterien ermittelt werden, die die Integrit\u00e4t von Open-Source-Software gew\u00e4hrleisten und bescheinigen. Das NIST hat diese Richtlinien in Form eines Entwurfs ver\u00f6ffentlicht<\/a>.<\/p>\n\n\n\n

Im Anschluss an das Treffen ver\u00f6ffentlichte Google in einem Blog-Post<\/a> seine Vorschl\u00e4ge f\u00fcr neue Kooperationsmodelle zum Schutz von Open-Source-Software. Auch andere Teilnehmer des Treffens bef\u00fcrworteten die Idee einer Zusammenarbeit f\u00fcr mehr Sicherheit im Bereich Open Source, darunter die Open Source Security Foundation (OpenSSF), GitHub<\/a>, RedHat<\/a> und die Linux Foudation<\/a>.<\/p>\n\n\n\n

Linux im Fadenkreuz<\/h2>\n\n\n\n

Linux ist eines der wichtigsten Open-Source-Betriebssysteme und sowohl in Ger\u00e4ten im Internet der Dinge (IoT) als auch in Cloud-Umgebungen weit verbreitet. Laut einem Bericht von Crowdstrike<\/a> hat die Qualit\u00e4t der Malware, die auf Linux abzielt, im Jahr 2021 ein neues Rekordhoch erreicht. Demnach lag das Angriffswachstum 2021 im Vergleich zu 2020 bei 35 %.<\/p>\n\n\n\n

XorDDoS, Mirai und Mozi waren die am weitesten verbreiteten Linux-Malware-Familien im Jahr 2021. So verzeichnete Mozi im vergangenen Jahr einen zehnfachen Anstieg der Anzahl von Samples \u201ein the wild\u201c im Vergleich zu 2020. Das Hauptziel dieser Malware-Familien besteht darin, anf\u00e4llige, mit dem Internet verbundene Ger\u00e4te zu kompromittieren, sie zu Botnets zusammenzuschlie\u00dfen und zur Durchf\u00fchrung von DDoS-Angriffen (Distributed Denial of Service) zu nutzen.<\/p>\n\n\n\n

Der Studie zufolge sind die verschiedenen Linux-Builds und -Distributionen, die den Kern von Cloud-, Mobil- und IoT-Infrastrukturen bilden, eine leichte Beute f\u00fcr Cyberkriminelle. Indem sie sich beispielsweise offene Ports oder ungepatchte Schwachstellen zunutze machen, k\u00f6nnen sie mit Log4j<\/a> die Integrit\u00e4t wichtiger Internetdienste gef\u00e4hrden. Deshalb wird erwartet, dass bis Ende 2025 mehr als 30 Milliarden IoT-Ger\u00e4te<\/a> mit dem Internet verbunden sein werden, was eine riesige Angriffsfl\u00e4che f\u00fcr die massive Erschaffung von Botnets bietet.<\/p>\n\n\n\n

Damit sich Probleme wie bei Log4j nicht wiederholen<\/h2>\n\n\n\n

Brian Behlendorf ist einer der f\u00fchrenden K\u00f6pfe der Open-Source-Bewegung. Er sprach \u00fcber die Bedeutung der Sicherheit f\u00fcr diese Art von Software \u2013 und dar\u00fcber, wie Entwickler verhindern k\u00f6nnen, dass Schwachstellen wie die im Zusammenhang mit Log4j<\/a> in so weit verbreiteten Distributionen entdeckt werden. Behlendorf war einer der Entwickler der Apache-Webserver und arbeitet mit der Linux Foundation und OpenSSF zusammen, um bew\u00e4hrte Verfahren zu finden und diese im gesamten Open-Source-\u00d6kosystem zu unterst\u00fctzen. Hier erfahren Sie mehr.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Die Open-Source-Java-Bibliothek Log4j wurde von der Apache Foundation entwickelt. Entwickler nutzen sie, um zu verfolgen, was mit Anwendungen und Diensten im Internet geschieht. Der j\u00fcngste Schwachstellen-Fall bei Log4j war ein Weckruf hinsichtlich der Bedeutung von Open-Source-Sicherheit und Software-Lieferketten. Deshalb haben das Wei\u00dfe Haus und einige Tech-Giganten beschlossen, Initiativen zur raschen Verbesserung der Open-Source-Sicherheit zu diskutieren….<\/p>\n","protected":false},"featured_media":3545,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-3570","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/3570","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=3570"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/3545"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=3570"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=3570"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=3570"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=3570"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=3570"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=3570"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}