Sichere Software entwickeln: Kostenlose Tools und Fortbildungen bei der OpenSSF
In ihrem Jahresbericht zeigt Open Source Security Foundation, wie sie die Community in Sicherheitsfragen unterstĂĽtzt: Tools, Fortbildungen und Beratung.
Die Open Source Security Foundation (OpenSSF) hat ihren Jahresbericht für 2024 veröffentlicht. Schwerpunkte in der Arbeit der Stiftung lagen in der Weiterentwicklung von Sicherheitstools, in der Ausbildung von Entwicklern und in der Lobbyarbeit, insbesondere in den USA und Europa.
Die OpenSSF verfügt nun über 126 Mitglieder aus 15 Ländern, darunter AWS, Google, Intel, Microsoft und Red Hat. 2239 Contributors aus der Community halfen in den Arbeitsgruppen oder beim Entwickeln der Sicherheits-Tools. 62.618 Projekte nutzen das Tool Sigstore, 12.000 Teilnehmer besuchten Kurse der Foundation und 7.500 Projekte, beispielsweise Kubernetes, Linux Kernel und node.js, befolgen die von OpenSSF herausgegebenen Best Practices.
Kostenlose Weiterbildung und Open-Source-Tools
Für viele Entwicklerinnen und Entwickler werden insbesondere die kostenlosen Kurse und Lehrmaterialien sowie die Tools der OpenSSF von Interesse sein. Gratis gibt es beispielsweise den Online-Einführungskurs Developing Secure Software (LFD121), den 8000 Teilnehmer dieses Jahr besucht haben. Öffentlich zugänglich sind auch Anleitungen etwa für Secure Principles for Package Repository Security, Correctly Using Regular Expressions for Secure Input Validation oder Compiler Options Hardening Guide for C and C++. Ein weiteres Dokument zum Thema Python ist in Vorbereitung. Für andere Teile des Fortbildungsprogramms verlangt die OpenSSF auch Gebühren.
Als wichtigste der 14 Tools unter dem Dach der Stiftung nennt der Report Sigstore und Scorecard. Der 2022 fertiggestellte SchlĂĽssel- und Zertifikatmanager Sigstore sichert Software-Komponenten sowie Build- und Supply-Chain-Prozess ab. Zu diesem Zweck betreibt die OpenSSF ein eigenes Trust Center. Das Projekt Scorecard dient dem Erfassen von Metriken im Sicherheitsbereich. In diesem Jahr neu in die Sandbox hinzugekommene Tools sind Protobom, bomctr und Minder, die eine Software Bill of Material oder die Supply Chain managen.
Eine weitere Aufgabe der OpenSSF ist, systemkritische Open-Source-Software zu identifizieren, aufzulisten und die beteiligten Projekte zu beraten. Zusätzlich erstellt sie monatlich für 500.000 Projekte einen Sicherheits-Score.
Verstärken will die Foundation künftig das Engagement bei der Künstlichen Intelligenz: "Mit der zunehmenden Verbreitung von KI freue ich mich darauf zu sehen, wie die OpenSSF weitere Tools entwickelt, um KI und Open Source sicherer zu machen und um KI zur Verbesserung der Sicherheit zu fördern", schreibt Arun Gupta, Vorsitzender des Governing Board, im Bericht.
Der Jahresreport lässt sich kostenlos als PDF auf der Seite der Foundation laden.
Lesen Sie auch
Maker Bits: Software, Hardware und Infos fĂĽr Maker
WordPress-Konflikt eskaliert: Automattic muss Sperre von WP Engine aufheben
Frist zu EU-weiter Produkthaftung fĂĽr Hard- und Software beginnt
ProduktĂĽbersicht: Angebote im Observability-Bereich, die OpenTelemetry einsetzen
Open-Source-Software: Deutschland muss raus aus der Abhängigkeit
(who)