Die Experten Georg Link und Luis Canas Diaz von Bitergia haben in ihrem Vortrag beim Ubuntu Summit vor zunehmenden Attacken auf die Software Supply Chain gewarnt. Es gelte nun, die Gefahren in der Software Supply Chain verstehen, und es gebe mit GrimoireLab ein Open-Source-Tool das dagegen hilft.
Die Attacken auf die Software Supply Chain haben seit 2021 eine Verdreifachung erfahren müssen. Laut dem US-Marktforscher Gratner sollen im Jahr 2025 rund 45 Prozent der Unternehmen Opfer einer Attacke geworden sein.
Software altert wie Milch, nicht wie Wein, lautet eine Erkenntnis der beiden Experten. Statt mit den Jahren zu reifen unterliege Software einem Verfallsprozess. Entsprechend seien Verfallsdatum und Quellenangaben wichtige Bestandteile der Software-Entwicklung. Das Risiko für Software liege eben in der Zukunft, wenn es etwa nötig werde, überhaupt noch Entwickler mit Skills für die Software zu finden.
Wenn Software nicht entsprechend gepflegt werde, stelle sie ein Risiko dar, sagt Georg Link. Unmanaged Open Source Software sei gleichzusetzen mit unbekannten Risiken. Und der Anteil von Software, in der Open Source stecke, liege zwischen 70 und 90 Prozent.
Georg Link ist Mitbegründer und Maintainer von CHAOSS, das Akronym steht für Community Health Analytics in Open Source Software. Unter der Regie von CHAOSS findet auch die Entwicklung von GrimoireLabs statt, einem GrimoireLab ist ein CHAOSS-Toolset für die Analyse von Softwareentwicklung. Die Werkzeuge sollen helfen, Daten aus (Repositories) abzurufen, sie in Datenbanken zu speichern, sie durch die Berechnung relevanter Metriken anzureichern und die Durchführung von Analysen und Visualisierungen zu erleichtern. So lasse sich sichtbar machen, an welchen Stellen die Risiken liegen, sei es in der Lizenzierung, dem Patchmanagement, der Reaktionszeit auf Bugs oder der Projektbesetzung.
Risikoanalyse mit dem Dashboard von Bitergia. Quelle: Bitergia
Bei der Datensammlung in Projekten gelte die GDPR als Standard. Und es gebe ein „Remove my data“-Feature. Mit dem Unternehmen Bitergia der beiden Vortragenden gibt es kommerziellen Support für GrimoireLabs. Die GrimoireLabs Tutorials seien ein guter Startpunkt für Projekte, die sich für die Analysemöglichkeiten der Software Supply Chain interessieren. ZU den Plattformen, die mit GrimoireLabs aufgebaut wurden zählen neben Bitergia auch die Linux Foundation Insights.
