{"id":4969,"date":"2022-05-27T11:08:56","date_gmt":"2022-05-27T11:08:56","guid":{"rendered":"https:\/\/network-king.net\/warum-sie-auf-googles-fachwissen-im-bereich-cybersicherheit-vertrauen-sollten\/"},"modified":"2022-05-27T11:18:07","modified_gmt":"2022-05-27T11:18:07","slug":"warum-sie-auf-googles-fachwissen-im-bereich-cybersicherheit-vertrauen-sollten","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/warum-sie-auf-googles-fachwissen-im-bereich-cybersicherheit-vertrauen-sollten\/","title":{"rendered":"Warum Sie auf Googles Fachwissen im Bereich Cybersicherheit vertrauen sollten"},"content":{"rendered":"\n<p>Entwickler und Nutzer von Open-Source-Software sollten sich auf das Fachwissen von Google verlassen, um ihre Initiativen f\u00fcr Cybersicherheit zu st\u00e4rken. Denn angesichts der Tatsache, dass die Zahl der Cyberangriffe, die auf die Ausnutzung von Schwachstellen im Open-Source-\u00d6kosystem abzielen, bis 2021 <a href=\"https:\/\/www.sonatype.com\/hubfs\/Q3%202021-State%20of%20the%20Software%20Supply%20Chain-Report\/SSSC-Report-2021_0913_PM_2.pdf?hsLang=en-us\" target=\"_blank\" rel=\"noreferrer noopener\">um 650 % zunehmen wird<\/a>, hat Google den neuen Dienst Assured Open Source Software (OSS) angek\u00fcndigt. Mit diesem Service stellt das Unternehmen seine eigenen Open-Source-Pakete und -Bibliotheken auch anderen Unternehmen zur Verf\u00fcgung.<\/p>\n\n\n\n<p>In seinem <a href=\"https:\/\/cloud.google.com\/blog\/products\/identity-security\/introducing-assured-open-source-software-service\" target=\"_blank\" rel=\"noreferrer noopener\">Blog<\/a> bezeichnet sich Google als einer der gr\u00f6\u00dften Verwalter, Beitr\u00e4ger und Nutzer im Bereich Open Source und ist nach eigenen Angaben dabei, dieses \u00d6kosystem sicherer zu machen \u2013 unter anderem durch die Teilnahme an der <a href=\"https:\/\/openssf.org\/\" target=\"_blank\" rel=\"noreferrer noopener\">Open Source Security Foundation (OpenSSF)<\/a>, durch Beitr\u00e4ge zur Datenbank f\u00fcr <a href=\"https:\/\/osv.dev\/\" target=\"_blank\" rel=\"noreferrer noopener\">Open Source Vulnerabilities (OSV)<\/a> sowie <a href=\"https:\/\/google.github.io\/oss-fuzz\/\" target=\"_blank\" rel=\"noreferrer noopener\">OSS-Fuzz<\/a>. K\u00fcrzlich nahm Google gemeinsam mit der OpenSSF, der Linux Foundation und anderen Branchenf\u00fchrern an einem Treffen teil, um Initiativen voranzutreiben, die auf dem White House Summit on Security for Open Source Software im Januar diskutiert wurden.<\/p>\n\n\n\n<p>Die Assured Source Software erm\u00f6glicht es, dieselben Open-Source-Software-Sicherheitspakete und -Bibliotheken, die auch Google verwendet, problemlos in die Arbeitsabl\u00e4ufe von Entwicklern einzubinden. Denn die von Google kuratierte Suite verf\u00fcgt \u00fcber folgende Eigenschaften:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Sie wird regelm\u00e4\u00dfig \u00fcberpr\u00fcft, analysiert und getestet, um m\u00f6gliche Schwachstellen zu ermitteln;<\/li><li>Sie verf\u00fcgt \u00fcber angereicherte Metadaten, die Container- und Artefakt-Analysedaten enthalten;<\/li><li>Sie wurde mit <a href=\"https:\/\/cloud.google.com\/build\" target=\"_blank\" rel=\"noreferrer noopener\">Cloud Build<\/a> erstellt und enth\u00e4lt \u00fcberpr\u00fcfbare Nachweise f\u00fcr die Einhaltung von<a href=\"https:\/\/slsa.dev\/\" target=\"_blank\" rel=\"noreferrer noopener\"> SLSA (Supply Chain Levels for Software Artifacts)<\/a>, eine Checkliste f\u00fcr Standards und Kontrollen zur Verhinderung von Manipulationen sowie zur Verbesserung der Integrit\u00e4t und zum Schutz von Paketen oder Infrastruktur;<\/li><li>Sie ist nachweislich von Google signiert;<\/li><li>Sie wird von einer durch Google gesch\u00fctzten Artefakt-Registrierung verteilt.<\/li><\/ul>\n\n\n\n<p>Mit diesen Merkmalen erm\u00f6glicht Assured OSS Unternehmen, von Googles Cybersicherheits-Know-how zu profitieren. Dar\u00fcber hinaus reduziert es die Notwendigkeit, komplexe Prozesse zur Sicherung der Open-Source-Abh\u00e4ngigkeiten zu entwickeln, zu pflegen und zu betreiben.<\/p>\n\n\n\n<p>Assured OSS wird voraussichtlich im 3. Quartal 2022 im Preview-Modus angeboten.<\/p>\n\n\n\n<p>Au\u00dferdem k\u00fcndigten Google und Snyk \u2013 ein auf sichere Entwicklungsl\u00f6sungen spezialisiertes Unternehmen \u2013 ihre Absicht an, Entwickler aktiv zu unterst\u00fctzen. Mit ihrer Hilfe sollen sie die Risiken und Auswirkungen ihrer Open-Source-Abh\u00e4ngigkeiten besser verstehen und mit Assured OSS reduzieren. Zu diesem Zweck wird der Dienst in die L\u00f6sungen von Snyk integriert. Die Schwachstellen, Trigger-Aktionen und Empfehlungen zur Behebung werden den gemeinsamen Kunden dann im Google Cloud Development Lifecycle Management und in den Sicherheitstools zur Verf\u00fcgung gestellt \u2013 um so die Entwicklererfahrung zu verbessern.<\/p>\n\n\n\n<p>Mit dieser gemeinsamen Initiative sollen die Wahrscheinlichkeit der \u00dcbernahme von Open-Source-Software mit kritischen Schwachstellen verringert und die damit verbundenen Auswirkungen potenzieller M\u00e4ngel schneller erkannt werden. Zudem dienen sie dem Zweck, die Gef\u00e4hrdung durch neue Bedrohungen zu reduzieren und die Automatisierung von Abhilfema\u00dfnahmen zu optimieren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-sicherheit-zu-hause\">Sicherheit zu Hause<\/h2>\n\n\n\n<p>In der nachstehenden Abbildung sind die verschiedenen Stufen in der Softwarekette zur Ermittlung von Open-Source-Abh\u00e4ngigkeiten dargestellt. Dabei haben Organisationen sehr unterschiedliche Einstiegspunkte in diesen Lebenszyklus. Schlie\u00dflich erstellen die einen Pakete aus dem Quellcode, w\u00e4hrend andere Pakete aus vertrauensw\u00fcrdigen Repositorien verwenden.<\/p>\n\n\n\n<p>Einige Unternehmen, darunter auch Google, zentralisieren die Kontrolle und sch\u00fctzen aktiv jeden Schritt des End-to-End-Prozesses. Google beispielsweise unterh\u00e4lt zun\u00e4chst separate, sichere Kopien des Quellcodes und f\u00fchrt eigene Schwachstellenscans durch. Au\u00dferdem betreibt es kontinuierlich Fuzzing-Tests der 550 meistgenutzten Open-Source-Projekte und fand dadurch allein im Januar 2022 mehr als 36.000 Sicherheitsl\u00fccken.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/network-king.net\/wp-content\/uploads\/2022\/05\/Google1.jpg\" alt=\"\" class=\"wp-image-4957\" width=\"752\" height=\"251\" srcset=\"https:\/\/network-king.net\/wp-content\/uploads\/2022\/05\/Google1.jpg 1504w, https:\/\/network-king.net\/wp-content\/uploads\/2022\/05\/Google1-300x100.jpg 300w, https:\/\/network-king.net\/wp-content\/uploads\/2022\/05\/Google1-1024x342.jpg 1024w, https:\/\/network-king.net\/wp-content\/uploads\/2022\/05\/Google1-768x256.jpg 768w\" sizes=\"(max-width: 752px) 100vw, 752px\" \/><figcaption>Quelle: Google <\/figcaption><\/figure>\n<\/div>\n\n\n<p>Google hat erkannt, dass die meisten Unternehmen nicht \u00fcber die Ressourcen oder das Fachwissen verf\u00fcgen, in gleichem Ma\u00df f\u00fcr die Open-Source-Sicherheit zu engagieren. So hat der Konzern mit Initiativen wie der Einf\u00fchrung des Assured OSS-Dienstes einen wertvollen Beitrag f\u00fcr das \u00d6kosystem geleistet.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Entwickler und Nutzer von Open-Source-Software sollten sich auf das Fachwissen von Google verlassen, um ihre Initiativen f\u00fcr Cybersicherheit zu st\u00e4rken. Denn angesichts der Tatsache, dass die Zahl der Cyberangriffe, die auf die Ausnutzung von Schwachstellen im Open-Source-\u00d6kosystem abzielen, bis 2021 um 650 % zunehmen wird, hat Google den neuen Dienst Assured Open Source Software (OSS)&#8230;<\/p>\n","protected":false},"featured_media":4960,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[],"tags":[],"company":[],"topic":[],"class_list":["post-4969","articles","type-articles","status-publish","has-post-thumbnail","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/4969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=4969"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/4960"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=4969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=4969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=4969"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=4969"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=4969"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=4969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}