Finanzspritze soll Security der JavaScript-Runtime Node.js stärken

Die Open Source Security Foundation (OpenSSF) hat angekündigt, Security-Maßnahmen für Node.js mit 300.000 US-Dollar zu fördern. Die JavaScript-Laufzeitumgebung ist der erste Nutznießer der Anfang des Jahres gestarteten Alpha-Omega-Initiative der Stiftung. Das Geld soll das Security-Team von Node.js stärken und beim Beheben von Schwachstellen helfen.

Security vom Anfang bis zum Ende: Alpha und Omega

Die Linux Foundation hat die OpenSSF 2020 mit dem Ziel gegründet, die Sicherheit von Open Source Software zu verbessern. Mit demselben Ziel trafen sich im Februar 2022 Vertreter von Technikfirmen, US-Behörden und Non-Profit-Organisationen im Weißen Haus und riefen als Konsequenz das Alpha-Omega-Projekt ins Leben, um die Security der Software Supply Chain zu verbessern. Die OpenSSF treibt das Projekt voran, den Start finanzierten Google und Microsoft mit 5 Millionen US-Dollar.

Das Alpha-Team soll den Betreibern von Open-Source-Projekten helfen, Schwachstellen aufzuspüren und zu schließen. Omega zielt auf die langfristige Sicherheit der Projekte und setzt auf automatisierte Methoden, um kritische Sicherheitslücken in mindestens 10.000 verbreiteten Open-Source-Projekten zu finden.

Node als kritisches Projekt

Die OpenSSF hat das frisch in Version 18 veröffentlichte Node.js wegen dessen Verbreitung und Bedeutung ausgewählt. Das serverseitige JavaScript kommt in vielen Projekten zum Einsatz und wurde laut der Aussage der Foundation 2021 insgesamt zwei Milliarden Mal heruntergeladen. Zwar gibt es mit Deno einen Herausforderer bei den JavaScript-Laufzeitumgebungen, aber Node.js bleibt bei weitem der Platzhirsch.

Thementag Supply Chain Security

Bevor die Entwicklerkonferenz heise devSec am 5. und 6. Oktober 2022 wieder vor Ort durchstartet, richten die Veranstalter heise Developer, heise Security und dpunkt.verlag im ersten Halbjahr zwei Online-Thementage aus. Den Auftakt macht ein Tag zu Supply Chain Security am 26. April 2022.

Log4j und Solarwinds haben gezeigt, wie verwundbar die Software Supply Chain ist. Doch daneben gibt es zahlreiche weitere Schwachstellen und gezielte Angriffe, die wahlweise die entwickelte Software oder die Developer-Workstations als Ziel haben. Fremden Code im Auge zu behalten ist deutlich schwieriger als eigene Software abzusichern.

Das Programm der halbtägigen Online-Konferenz bietet unter anderem einen Vortrag zu Supply-Chain-Angriffen auf Open-Source-Ökosysteme wie Node.js.

Das 2009 von Ryan Dahl gestartete Node.js hat 2015 mit der Node.js Foundation eine eigene Stiftung erhalten, die wie OpenSSF unter dem Dach der Linux Foundation steht. Vier Jahre später schloss sich die Node.js Foundation mit der ebenfalls der Linux Foundation zugehörigen JS Foundation zusammen. Seitdem treten die Organisationen gemeinsam als OpenJS Foundation auf, die seit Februar 2022 auch die Markenrechte für Node.js verwaltet.

Im GitHub-Repository der Open Source Security Foundation findet sich ein derzeit noch als Beta gekennzeichnetes Projekt für einen Algorithmus zum Berechnen des sogenannten Open Source Project Criticality Score. Er zeigt an, wie kritisch ein Projekt hinsichtlich bestehender Abhängigkeiten ist, und Node.js erzielt aufgrund seiner Bedeutung für andere Open-Source-Projekte eine hohe Wertung.

Das nun bereitgestellte Fördergeld soll die Projektbetreiber von Node.js entlasten, damit sie sich auf neue Funktionen konzentrieren können, während sich andere um die Sicherheit der Software kümmern. Unter anderem sollen Security-Experten von NearForm und Trail of Bits dem Technical Steering Commitee von Node.js beistehen.

Weitere Details lassen sich dem Blog der Open Source Security Foundation entnehmen.

(rme)