Wie Github, Google und Co. die Softwarelieferkette absichern wollen
Mit einer Reihe von Initiativen wollen namhafte Unternehmen wie Red Hat, Google oder Github die Softwarelieferkette sicherer machen. Dienstleistungen und Frameworks zielen darauf ab, Best Practices in Unternehmen zu fördern.
Die Sicherung der Softwarelieferkette gehört zu den dringendsten Herausforderungen in puncto Cybersecurity. In jüngster Zeit sind in diesem Bereich eine Reihe neuer Initiativen ins Leben gerufen worden.
Eine davon ist das Alpha-Omega-Projekt. Es steht unter der Schirmherrschaft der Open Source Security Foundation (OpenSSF) und wird von Google und Microsoft sowohl technisch als auch finanziell unterstützt. Ziel der Initiative ist es einerseits (als Alpha-Teil), die Entwicklerinnen und Entwickler besonders kritischer, oft genutzter Open-Source-Programmbibliotheken zu unterstützen, ihren Code sicherer zu machen, wie die Projektverantwortlichen am unlängst durchgeführten OpenSSF Day Europe erklärten. Andererseits (Omega-Teil) wolle man mittels automatisierter Methoden und Tools kritische Sicherheitslücken in rund 10'000 Open-Source-Projekten identifizieren.
Was Google und Github tun
Abgesehen von seiner Beteiligung am Alpha-Omega-Projekt engagiert sich Google auch bei einem Service namens Assured Open Source Software (Assured OSS) für eine sichere Softwarelieferkette. Dabei handelt es sich um eine Reihe von Open-Source-Softwarebibliotheken, die von der Firma aus Mountain View kuratiert werden.
Mit dem Software Delivery Shield geht Google sogar noch einen Schritt weiter. Das Unternehmen bietet damit eine vollständig verwaltete Lösung für Sicherheitsprobleme in der gesamten Softwarelieferkette in fünf Bereichen an: Anwendungsentwicklung, Softwarebeschaffung, kontinuierliche Integration (CI) und kontinuierliche Lieferung (CD), Produktionsumgebungen und Vertrauensbildung.
Wenig verwunderlich trägt auch die Entwickler- und Code-Plattform Github ihren Teil zu einer sicheren Softwarelieferkette bei. Zu den entsprechenden Features gehören die Advisory Database, der Dependency Graph oder und der Dependabot. Letzterer benachrichtigt Entwicklerinnen und Entwickler, sobald eine Schwachstelle in einer von ihnen eingesetzten Bibliothek bekannt wird, und gibt Anweisungen zur Aktualisierung auf eine sichere Version.
Darum braucht es eine "Software Bill of Materials"
Trotz dieser automatisierten Tools sollten Unternehmen stets einen genauen Überblick über alle eingesetzten Softwarekomponenten behalten. Um bei einer bekannt gewordenen Schwachstelle reagieren zu können, muss klar sein, aus welchen Projekten sich die Softwarelieferkette zusammensetzt. Dieses "Inventar" eingesetzter Komponenten nennt man Software Bill of Materials (SBOM).
Eine SBOM muss vollständig sein und sowohl Open-Source-Komponenten, -Bibliotheken und -Module als auch proprietäre, kostenlose oder kostenpflichtige Tools enthalten. Die Herausforderung besteht derzeit darin, diese Art der Dokumentation zu standardisieren, um nicht nur eine Liste der Komponenten, sondern auch aller Abhängigkeiten zwischen ihnen zu erhalten.
Red Hat hat vor Kurzem das Angebot Red Hat Trusted Software Supply Chain vorgestellt. Es umfasst mehrere Dienste, darunter die Trusted Application Pipeline, mit der ein Quellcode und die Abhängigkeiten zwischen Komponenten überprüft werden können. Ausserdem werden automatisch SBOMs generiert. Mehr dazu lesen Sie hier.
Mit Frameworks zu guten Praktiken
Es gibt zwei nennenswerte Frameworks, die im Bereich einer sicheren Softwarelieferkette für standardisierte Praktiken sorgen könnten. Vom US-amerikanischen National Institute of Standards and Technology (NIST) kommt das Secure Software Development Framework (SSDF). Es beschreibt eine Reihe von Praktiken, die im Softwareentwicklungszyklus umgesetzt werden sollen. Google und die Open Source Security Foundation (OpenSSF) haben ihrerseits die Supply Chain Levels for Software Artifacts (SLSA) entwickelt. Dieses Framework führt Konzepte und Schritte ein, die dabei helfen sollen, den Lebenszyklus der Softwareentwicklung sicher zu gestalten. Die Konzepte konzentrieren sich insbesondere auf den Quellcode und die Abhängigkeiten.
Laut einer von Venafi veröffentlichten Studie sind sich CIOs der Bedrohung durch Schwachstellen in ihrer Softwarelieferkette durchaus bewusst. Allerdings wissen sie oft nicht, welche organisatorischen Veränderungen und neuen Kontrollen nötig sind, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.