Security Scorecards sollen Sicherheit von Open-Source-Paketen einschätzen

Die in diesem Sommer als Kollaborationsprojekt der Linux Foundation gegründete Open Source Security Foundation (OpenSSF) stellt ihr erstes Projekt vor: Scorecards, ein System zur automatisierten Einschätzung, wie sicher oder risikobehaftet Open-Source-Pakete sind. Entstanden ist es aus den eigenen Erfahrungen der Beteiligten, in frühere Programmierprojekte ungeprüften Open-Source-Code einzubinden – getreu dem Motto: Was schon viele benutzt haben, wird schon passen.

Hilfreich bei fremden Code-Paketen

Erst mit dem Aufkommen gezielter Angriffe auf Open-Source-Software entstand allmählich auch ein Bewusstsein dafür, wie riskant vernachlässigte, ungepflegte oder nicht aktualisierte Software sein kann. Dennoch kann es in großen Unternehmen oft schwierig sein, den Werdegang dieser Pakete nachzuvollziehen.

Hier setzt die OpenSSF an. Es definiert spezielle, zukünftig noch weiter fortzuschreibende Kriterien, nach denen sich ein Software-Paket automatisiert überprüfen lässt, und weist ihnen dafür eine bestimmte Punktzahl zu. Daraus lässt sich dann ebenfalls automatisiert ein Score errechnen, anhand dessen ein Unternehmen dann beispielsweise entscheiden kann, ob es den Code einsetzen oder weiteren Überprüfungen unterziehen will.

Ein erster Kriterienkatalog, der zukünftig mit Hilfe der Community und der Projektmitglieder noch verfeinert werden soll, ist auf Github veröffentlicht. In die Bewertung fließen Kriterien wie das Vorhandensein einer Security-Policy, das Mitarbeiten von mindestens zwei verschiedenen Organisationen, das Deklarieren von Abhängigkeiten und dergleichen mehr ein. Eine Dokumentationsseite beschreibt, wie die einzelnen Prüfungen realisiert werden. Interessierte sind aufgerufen, das Security-Scorecards-Projekt anzuschauen und Feedback zu geben.

(ur)