Google im Kampf gegen Schwachstellen in Open-Source-Projekten

Google hat den Leitfaden für die Offenlegung von Sicherheitslücken in Google-eigenen Open-Source-Projekten aktualisiert. Diese Richtlinien sollen Entwicklerteams bei der Arbeit mit Open-Source-Software helfen und erläutern, wie man Schwachstellen behandelt und veröffentlicht. Der Beobachtung, dass einige Projekte nicht richtig dokumentiert sind oder keine Idee haben, wie man derartige Schwachstellen behandelt und offenlegt, möchte Google damit entgegenwirken.

Guide unterteilt in drei Abschnitte

Kürzlich hatte Google mit Open Source Vulnerabilities (OSV) einen Dienst zum Verwalten von Schwachstellen in Open-Source-Code gestartet. Nun aktualisiert das Unternehmen die Richtlinien. Der überarbeitete Guide ist in drei Abschnitte unterteilt. Der erste befasst sich mit dem Einrichten einer Infrastruktur für Schwachtellenmanagement (Vulnerability Management). Hier finden sich Informationen dazu, was Entwickler erledigen müssen, bevor sie ein Problem melden. Der nächste Abschnitt widmet sich dem Reaktionsprozess auf Schwachstellen. Abschnitt 2 enthält ein sogenanntes Runbook, für den Fall, dass ein Projekt ein Problem enthält. Unter Templates finden sich Vorlagen von SECURITY.MD bis zum Entwurf einer öffentlichen Mitteilung sowie weitere Informationen dazu, wie man solche ein Problem behandeln muss.

Google macht mit der Veröffentlichung des Guides deutlich, dass man kein Sicherheitsexperte sein muss, um den Guide zur Offenlegung von Sicherheitslücken zu implementieren. Es bedürfe lediglich eines guten Prozessmanagements sowie klarer Kommunikation. Das Unternehmen empfiehlt die Implementierung des Guides in Open-Source-Projekte und hofft, damit die längst überfällige Aufmerksamkeit der Industrie zu erregen.

Nähere Informationen finden sich im Beitrag auf Googles Open-Source-Blog.

(mdo)