Eclipse Foundation erklärt Security zur Chefsache
Mit Blick auf die wachsenden Gefahren für die Software Supply Chain ernennt die Stiftung Mikaël Barbero zum Head of Security.
Die Eclipse Foundation hat einen Hauptverantwortlichen für Security ernannt: Mikaël Barbero ist der neue Head of Security. Damit trägt die Stiftung der wachsenden Zahl bekannter Angriffe auf die Software Supply Chain Rechnung, die durch Attacken auf und mit Open-Source-Software möglich wurden.
Chefsache Security
In einem Blogbeitrag erklärte der Geschäftsführer der Eclipse Foundation, Mike Milinkovich, dass das Thema Open Source Supply Chain Security für ihn ganz oben auf der Liste der Prioritäten stehe. Es sei keine Option, die Last der für die Sicherheit der Projekte erforderliche zusätzlichen Arbeit auf die Schultern der Projektverantwortlichen und Beitragenden zu übertragen.
Zudem sei für Security, insbesondere für die Supply Chain, ein programmatischer Ansatz erforderlich. "Security ist kein Attribut, das man einfach zu existierender Software hinzufügt", schreibt Milinkovich. Die Foundation möchte Services für die Projekte bereitstellen, damit sie die im 2021 veröffentlichten Best Practices für die Open Source Supply Chain Security sicherstellen können.
Milinkovich strebt eine Sammlung von Services an, um die Code-Repositories zu schĂĽtzen, Third-Party-Artefakte abzusichern, Security-Audits bereitzustellen, die Build-Pipelines abzusichern und den beim Build-Prozess erstellten Output zu schĂĽtzen.
Für die ordentliche Umsetzung sei eine Führungsverantwortung für die Security-Maßnahmen unabdingbar. Diese hat die Foundation bereits vor knapp zwei Wochen an Barbero übertragen und nun öffentlich verkündet.
Barbero war seit einigen Jahren für die gemeinsame Build-Infrastruktur bei Eclipse zuständig. Daher steht er der Software Supply Chain ohnehin nahe. In den nächsten Wochen sollen einige Ankündigungen über neue Programme bezüglich der Security-Maßnahmen bei der Eclipse Foundation folgen.
Angriffsziel Lieferkette
Unter anderem Log4j hat auf prominente Weise gezeigt, wie verwundbar die Software Supply Chain ist. Hinzu kommen weniger sicherheitskritische, aber dennoch schädliche Aktionen verärgerter Entwicklerinnen und Entwickler, die ihre Pakete unbrauchbar machen oder vom Paketmanager zurückziehen.
Zu den jüngsten Beispielen für Angriffe auf Open-Source-Pakete gehört die angebliche Übernahme eines npm-Accounts und ein Angriff über Dependency Confusion, der zwar eine Backdoor auf Systeme installiert hat, sich aber nicht als bösartige Supply-Chain-Attacke, sondern als Pentest herausgestellt hat.
Lesen Sie auch
Log4j – warum Open Source kaputt ist
(rme)