Mehr Sicherheit für (Open-)Sourcecode: OpenSSF veröffentlicht Leitfaden
Ein Leitfaden der Open Source Security Foundation zeigt Tools und Best Practices zum Absichern von Code auf Versionsverwaltungsplattformen auf.
(Bild: deepadesigns/Shutterstock.com)
Die Open Source Security Foundation (OpenSSF) hat den Source Code Management Best Practices Guide veröffentlicht. Er beschreibt Maßnahmen und Werkzeuge, die beim Absichern von Projekten auf Versionsverwaltungsplattformen wie GitHub und GitLab helfen sollen.
Der Leitfaden richtet sich sowohl an diejenigen, die Software entwickeln, als auch an Security-Teams. Zielgruppe sind vor allem die Projektverantwortlichen.
Werkzeuge aus hauseigener Produktion
Unter dem Punkt Tooling finden sich drei Werkzeuge, die dabei helfen sollen, Fehlkonfigurationen und Sicherheitsprobleme in Repositories aufzuspüren. Zwei davon sind Open-Source-Projekte der OpenSSF.
Allstar prüft Repositories in der GitHub-Cloud regelmäßig auf Fehlkonfigurationen und das Einhalten von Policies. Das Werkzeug Scorecard erstellt einen Risk Score anhand heuristischer Untersuchungen für GitHub- und GitLab-Repositories. Das dritte Open-Source-Tool in der Liste ist Legitify von Legit Security. Es führt eine umfangreiche Prüfung der Repositories auf GitLab und GitHub durch.
Empfehlungen für GitHub und GitLab
Das Herzstück des Leitfadens sind Empfehlungen für die unterschiedlichen Aspekte vom Repository-Management über die Zugriffskontrolle bis zu den CI/CD-Prozessen (Continuous Integration, Continuos Delivery). Neben den allgemeinen Hinweisen führt die Liste spezifische Empfehlungen für GitHub und GitLab auf.
Zudem zeigt die Liste Best Practices wie Zugriff über Zwei-Faktor-Authentifizierung und regelmäßigen Code-Reviews für den Default-Branch sowie Grenzwerte wie beispielsweise maximal drei Owner und mindestens zwei Code-Reviewer. Auch zeitliche Rahmen wie mindestens vierteljährliche Updates für Repositories empfiehlt der Guide.
Die verlinkten Detailseiten der Unterpunkte listen für Verletzungen der jeweiligen Policy sowohl den Schweregrad als auch Anleitungen für Gegenmaßnahmen auf GitHub oder GitLab auf.
Security von Open-Source-Software im Blick
Die Linux Foundation hat die OpenSSF 2020 ins Leben gerufen, um die Sicherheit von Open-Source-Software zu verbessern. Die Organisation stellt unter anderem Werkzeuge wie Scorecard und Allstar bereit. Außerdem fördert sie Open-Source-Organisationen finanziell, damit diese ihre Security verbessern können. Zum Auftakt hat Node.js 300.000 US-Dollar und später haben die Eclipse Foundation sowie die Python Software Foundation jeweils 400.000 US-Dollar Fördergelder erhalten.
Weitere Details zum Source Code Management Best Practices Guide finden sich im Blogbeitrag der Open Source Security Foundation. Der Leitfaden ist kein umfangreiches PDF, sondern eine einfache Webseite.
(rme)
