Aus Linux-Magazin 12/2022

Open Source Summit Europe 2022 in Dublin

© Gregory Johnston / 123RF.com

Stell Dir vor, es ist Open Source Summit Europe, und jemand geht hin: In Dublin stellte die Linux Foundation neue Initiativen vor, und die Teilnehmer diskutierten über sichere Lieferketten, den Linux-Kernel und zahllose weitere Themen.

Nach einer Covid-bedingten zweijährigen Pause trafen sich Mitte September 2022 wieder rund 1500 Menschen persönlich in der irischen Hauptstadt Dublin zum Open Source Summit Europe (Abbildung 1). Zusätzlich klinkten sich immerhin 800 Menschen virtuell ein.

Das Event vereinte – wie schon zuvor – ein gutes Dutzend kleinerer Open-Source-Konferenzen unter einem Dach. Auch Kernel-Entwickler wie Linus Torvalds und Jonathan Corbet waren persönlich vor Ort. Die Stimmung lässt sich fast als euphorisch beschreiben, immerhin kamen viele Menschen nach dem Ausbruch der Corona-Pandemie erstmals wieder auf einem Live-Event zusammen. Deutsche bildeten übrigens die zweitgrößte Besuchergruppe. Die irische Hauptstadt präsentierte sich nahezu regenfrei von ihrer besten Seite.

Abbildung 1: Im Convention Center von Dublin fanden unter dem Open-Source-Summit-Label gleich mehrere Open-Source-Konferenzen statt.

Abbildung 1: Im Convention Center von Dublin fanden unter dem Open-Source-Summit-Label gleich mehrere Open-Source-Konferenzen statt.

Ein großes Thema auf dem Summit war die Sicherheit der sogenannten Software-Supply-Chain. Insbesondere der SolarWind-Hack hatte in den letzten Jahren Unternehmen aufgescheucht. Russische Hacker kompromittierten 2019 die Software-Supply-Chain des Netzwerkmanagementanbieters SolarWind und schmuggelten maliziösen Code in reguläre Software-Updates für die Orion-Plattform. Die Angreifer verschafften sich so über einen längeren Zeitraum unerkannt Zugriff auf Tausende Unternehmensserver, kritische Infrastruktur eingeschlossen. Die Lücke betraf staatliche und private Organisationen sowie Unternehmen in den USA und in Europa gleichermaßen und machte deutlich, dass die Softwarelieferketten für digitale Infrastrukturen bislang zu wenig Schutz genießen.

Große Besorgnis

Das Problem betrifft auch Open-Source-Projekte: Unternehmen setzen die kostenlose Software nur allzu gern für ihre teils kritischen Anwendungen ein, doch Freizeitentwickler entpuppen sich als nur bedingt Security-affin. Auch wenn der Code quelloffen ist, sehen nicht automatisch Tausende jede kleine Bibliothek durch – siehe Log4j.

Die schwere Sicherheitslücke beunruhigte sogar das Weiße Haus. Wie OpenSSF-Chef Brian Behlendorf auf dem Summit erzählte, kam es kurz nach dem Log4j-Vorfall zu einem Treffen von OpenSSF (siehe Kasten “OpenSSF”) und der Linux Foundation mit Vertretern des Weißen Hauses. In diesem Rahmen entstand ein konkreter Plan zum Handeln, der martialisch benannte Mobilization Plan. Mit einem angepeilten Budget von 150 Millionen US-Dollar [1] will die OpenSSF zehn konkrete Ziele [2] verfolgen, um Open-Source-Ökosysteme sicherer zu machen.

OpenSSF

Die Linux Foundation gründete die OpenSSF im August 2020 [9], um systemrelevante, aber chronisch unterfinanzierte Open-Source-Projekte zu identifizieren und deren Sicherheit zu verbessern, zum Teil mit Finanzspritzen und Expertise. Das Projekt wächst schnell und zählt inzwischen knapp 100 Mitglieder. Mehrere Arbeitsgruppen [10] beschäftigen sich unter anderem damit, Sicherheitslücken zu identifizieren, Standards und Tools für sichere Supply Chains zu entwickeln, Best Practices zu sammeln und generell Informationen rund um Open-Source-Security zu liefern.

Geldregen für Rust

Auf dem Summit hielt die OpenSSF eine eigene Subkonferenz ab und brachte gleich eine ganze Reihe von News mit. Die größte betrifft das Alpha-Omega-Projekt. Das will insgesamt 1,5 Millionen US-Dollar an einige der etwa 100 als fundamental wichtig identifizierten Projekte verteilen, um deren Sicherheitslage (Security Posture) zu verbessern. Während das Alpha für die unterstützten Projekte steht, zielt das Omega auf Automatisierung ab, damit die Security-Maßnahmen möglichst skalieren, ohne den Maintainern viel Zeit zu rauben.

Node.js hat bereits 300 000 US-Dollar erhalten, die Eclipse und die Python Foundation je 400 000 US-Dollar. Auch Rust profitiert von der Initiative: 460 000 US-Dollar sollen dabei helfen, die Build- und Deployment-Infrastruktur auf Schwachstellen zu prüfen und erstmals ein Bedrohungsmodell zu entwerfen. Es soll beleuchten, an welchen Stellen Rust besonders angreifbar ist.

Sichere Informationen

Neu sind auch zwei kostenlose Security Guides [3], die erklären, wie Entwickler sichere Software bauen und wie interessierte Unternehmen Open-Source-Software am besten evaluieren. Das Scorecard-Projekt erzeugt automatisiert einen Security Score für Open-Source-Repositories. Aktuell deckt es rund 1600 Projekte vor allem auf Github ab und bringt neuerdings eine REST-API mit. Mit Badges signalisieren Projekte zudem auf Github, wie es um ihre Security steht. Eine neue End Users Working Group kümmert sich nicht zuletzt um die Security-Belange von Organisationen, die Open-Source-Software eher konsumieren als produzieren.

SPDX macht die Biege

Um die Abhängigkeiten einer Software (die Supply Chain) zu verfolgen und zu überprüfen, müssen die Nutzer aber erst einmal wissen, welche Bestandteile überhaupt im Code stecken. Dafür benötigen sie eine SBOM (Software Bill of Materials). Die zu ermitteln, soll künftig im Idealfall vollautomatisch über SPDX (Software Package Data Exchange) erfolgen [4]. Der unter Schirmherrschaft der Linux Foundation entwickelte Standard zielte ursprünglich auf automatisierte Lizenzermittlungen ab [5]. Die Ausweitung auf SBOMs schlug sich jedoch bereits 2020 in Version 2.2 nieder. Mittlerweile führt auch die amerikanische NTIA (National Telecommunications and Information Administration) SPDX als einen Standard für SBOMs auf.

Und Europa?

Die NTIA ist allerdings eine US-Behörde, die Linux Foundation eine nordamerikanische Non-Profit-Organisation. Wie wahrscheinlich erscheint es von daher, dass auch Europa solche und ähnliche vorgeschlagenen Standards und Tools übernimmt? Diese Frage hat sich offenbar auch die Linux Foundation gestellt und kündigte nun einen neuen Ableger an: die Linux Foundation Europe [6] mit Sitz in Brüssel.

Wie der frischgebackene General Manager Gabriele Columbro aus Italien gegenüber dem Linux-Magazin erklärte, sei es auf diese Weise einfacher, auf europäische Bedürfnisse einzugehen. Das gelte für die EU-Ebene, die Nationalstaaten, aber auch für die akademische Welt. Die vorhandenen europäischen Mitglieder der Linux Foundation erhalten dabei auf Wunsch kostenlos eine zweite Mitgliedschaft im EU-Ableger und umgekehrt.

Offene Brieftasche

Das erste Projekt unter den Fittichen der Linux Foundation Europe soll die OpenWallet Foundation [7] werden. Das neu angekündigte Projekt strukturiert sich gerade erst und möchte ein offenes Framework entwickeln, mit dem Drittanbieter digitale Brieftaschen generieren. Die enthalten dann zum Beispiel digitale Führerscheine, Ausweise, Autoschlüssel, Krankenkassenkarten und so weiter. Wichtig ist dem Projekt dabei, offenen Standards zu folgen.

Eine weitere Neuigkeit leakte Meta-Chef Mark Zuckerberg bereits vorab auf Facebook: Das quelloffene KI-Projekt PyTorch kommt nun ebenfalls bei der Linux Foundation unter. Die PyTorch Foundation will sich insbesondere um das Tooling und das Ökosystem des seit 2016 existierenden Großprojekts von Meta kümmern [8]. (uba)

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 2 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben