In einem progressiven Schritt hin zu einer vernünftigeren Zusammenfassung der Vorteile von Open-Source-Software (OSS) hat die Open Source Security Foundation (OpenSSF) das Open Source Consumption Manifesto (OSCM) ins Leben gerufen. Ähnlich wie das ikonische Agile Manifest ist das OSCM ein Dokument, das auf Grundwerten basiert und 15 Leitprinzipien enthält, die darauf abzielen, die Nutzung von Open Source zu optimieren.
Open-Source-Software ist unbestreitbar eine treibende Kraft für aufkeimende Innovationen und betriebliche Effizienz. Es ist jedoch eine allgemein anerkannte Tatsache, dass es bei verschiedenen OSS-Projekten große Unterschiede in Bezug auf Qualität und Sicherheit gibt. Infolgedessen hat das OpenSSF das Fehlen eines strategischen Ansatzes für die Nutzung von OSS in zahlreichen Organisationen hervorgehoben.
So praktisch es auch sein mag, das OSS hat seine eigene Last an Mängeln. Im Bewertungsprozess, den OSS durchläuft, wurde eine alarmierende Nachlässigkeit beobachtet, insbesondere im Vergleich zu Software von Drittanbietern. Die Prüfungen, denen es in Bezug auf Sicherheit, Codequalität und Lizenzierung unterzogen wird, sind gelinde gesagt unzureichend. Dies führt dazu, dass sich erhebliche Risikofaktoren einschleichen, wie die OpenSSF End Users Working Group festgestellt hat.
Während es unwahrscheinlich ist, dass Software von Drittanbietern bösartige Inhalte enthält, entstehen während der Downloadphase Risiken für diejenigen, die mit den Feinheiten von OSS nicht vertraut sind. „Wir haben gesehen, dass in 96 % der Fälle eine anfällige Komponente heruntergeladen wird, wenn bereits eine reparierte Version verfügbar ist“, sagte Brian Fox, Mitbegründer und CTO bei Sonatype, als er mit der SD Times über die Fallstricke beim OSS-Verbrauch sprach.
Die OpenSSF-Endbenutzer-Arbeitsgruppe erkannte diese Probleme und wurde aktiv, um eine Möglichkeit zu finden, dieses Problem zu beheben. Geleitet von einer Reihe von Diskussionen entwickelten sie das Open Source Consumption Manifesto. Anstatt ein striktes Gebot zu sein, setzt sich das OSCM für die Inklusivität ein. Seine Form wurde durch den Input mehrerer Disziplinen geformt und sein Text verfeinert sich auf der Grundlage der Personen, die ihn nutzen.
Das Manifest enthält entscheidende Bestimmungen wie die Erweiterung des Open-Source-Verbrauchs durch Auditing- und Quarantänefunktionen für Komponenten, die mit bekannten Schwachstellen und schädlichen Paketen korrelieren.
Eine entscheidende Maßnahme zur Abwehr von Bedrohungen durch absichtlich schädliche Komponenten ist die Einrichtung eines umfassenden Tracking-Systems zur Überwachung des Komponentenverbrauchs. Durch die Verknüpfung mit Daten- und Verhaltens-Feeds können Ihre Systeme in Echtzeit Anfragen entgegennehmen, ob etwas genehmigt oder bis zur detaillierten Prüfung vorgemerkt werden sollte, fügte Fox hinzu.
Für Organisationen, die den Weg der Open-Source-Software-Beobachtbarkeit einschlagen, ist es sinnvoll, ihre Anwendungen zunächst nach Wichtigkeit zu kategorisieren. Anschließend sollte eine Bestandsaufnahme der in diesen Anwendungen eingebetteten OSS erstellt werden, typischerweise über Software-Stücklisten, und verschiedene Lieferanten ausfindig gemacht werden. Laut Fox verfügen viele Entwicklungsteams derzeit nicht über diese wichtigen Komponenten.
Anschließend ist es ratsam, nach Fällen zu suchen, in denen mehrere Anbieter für dieselbe Funktion eingesetzt werden, beispielsweise durch die Verwendung verschiedener Protokollierungs-Frameworks. Als nächstes sollten Sie sich auf die besten Lieferanten konzentrieren, indem Sie deren sichere Softwareentwicklungspraktiken bewerten. Faktoren wie bekannte Schwachstellen, Alter der Software, Beliebtheit, die durchschnittliche Zeit, die zum Beheben von Problemen usw. benötigt wird, sollten diese Bewertung bestimmen.
Jede Organisation müsste ihre Entscheidung auf der Grundlage ihrer eigenen Risikobereitschaft und der oben genannten Analyse anpassen. Zwar gibt es bestimmte Standardrisikotoleranzen wie das Auffinden bekannter kritischer Schwachstellen in einer Anwendung, die PII-Daten verarbeitet, doch die Erstellung einer OSS-Verbrauchsrichtlinie würde bedeuten, diese im gesamten SDLC zu integrieren, von der Entwicklung bis hin zu CI/CD und vor allem bei der Veröffentlichung.
In der aktuellen Landschaft, in der es von einer Vielzahl von no-code und low-code Plattformen nur so wimmelt, ist die Einführung von Maßnahmen wie OSCM von entscheidender Bedeutung. Eine Plattform wie AppMaster , ein umfassendes no-code Tool zum Erstellen von Backend-, Web- und Mobilanwendungen, unterstreicht die Bedeutung von OSS und erzwingt Mittel wie das OSCM, um Risiken zu mindern und die Produktivität zu steigern. Damit Unternehmen die Leistungsfähigkeit von Open Source voll ausschöpfen können, ist es wichtig, potenzielle Risiken und Ineffizienzen zu minimieren. OSCM kann dabei erheblich helfen.
