Unternehmen, die Open-Source-Software verwenden, müssen verstehen, welche Komponenten in ihren Anwendungen enthalten sind, und bereit sein, schnell zu handeln, wenn Schwachstellen entdeckt werden, sagte die Apache Software Foundation bei einem Treffen von Regierungsbeamten und Beamten im Weißen Haus am Donnerstag zur Verbesserung der Sicherheit von Open-Source-Anwendungen. Im Dezember lud das Weiße Haus nach der Entdeckung der Technologieführer zu dem Treffen ein Log4J-Schwachstellen. Laut ReutersIn dem Einladungsschreiben stellte der nationale Sicherheitsberater Jake Sullivan fest, dass solche Open-Source-Software weitgehend von Freiwilligen verwendet und gepflegt wird und ein „wichtiges nationales Sicherheitsproblem“ darstellt.

Gestochen von Kritikern, nachdem mehrere schwerwiegende Schwachstellen im Log4j2-Dienstprogramm entdeckt wurden, sagte die Foundation, dass Log4j und die Schwachstelle 2014 in der OpenSSL-Verschlüsselungsbibliothek synchronisiert wurden blutendes Herz, werden als Beispiele für Open-Source-Schwachstellenrisiken verwendet. “Mais,” Apaches Vorlage sagte, „Es muss daran erinnert werden, dass diese Probleme, sobald sie den jeweiligen Projekten gemeldet wurden, schnell und effizient bearbeitet wurden.“

„Was dazu führte, dass diese und andere Schwachstellen weit verbreitet wurden, wie das Apache Struts-Problem im Jahr 2017, war das Versäumnis von Unternehmen, sie rechtzeitig zu mindern: entweder durch Aktualisierung auf eine neue Version oder durch Anwendung von Minderungsmaßnahmen“, heißt es in der Einreichung fügt hinzu.

Probleme der Open-Source-Lieferkette können nicht gelöst werden, indem man sich ausschließlich auf Entwickler konzentriert, fügte er hinzu. Selbst perfekte Releases, sagte Apache, können Jahre dauern, bis sie von Benutzern von Open-Source-Paketen angenommen und bereitgestellt werden.

Eines der wertvollsten Dinge, die Unternehmen, die Open Source verwenden, tun können, ist etwas zurückzugeben, fügte Apache hinzu. „Helfen Sie, Fehler zu beheben. Führen Sie Sicherheitsaudits durch und melden Sie die Ergebnisse. Bargeld, obwohl willkommen und nützlich, reicht nicht aus.

Die Vorlage war eine von vielen, die der US-Regierung bei dem Treffen vorgelegt wurden. Es umfasste Vertreter der Biden-Regierung, des Pentagon, des Heimatschutzministeriums und seiner Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), des National Institute of Standards and Technology (NIST) und mehrerer Regierungsbehörden.

Zu den anwesenden IT-Unternehmen gehörten Akamai, Amazon, Apache Software Foundation, Apple, Cloudflare, Facebook (Meta), GitHub, Google, IBM, Linux Foundation, Open Source Security Foundation, Microsoft, Oracle, RedHat und VMware.

Eine Erklärung des Weißen Hauses Nach dem Treffen sagten die Teilnehmer, sie hätten „eine substanzielle und konstruktive Diskussion“ darüber geführt, wie man bei der Sicherheit von Open-Source-Software etwas bewirken und gleichzeitig die Open-Source-Community unterstützen könne.

Die Diskussion konzentrierte sich auf drei Themen: Vermeidung von Sicherheitslücken und Schwachstellen in Open-Source-Code und -Paketen, Verbesserung des Prozesses zum Auffinden und Beheben von Fehlern und Verkürzen der Reaktionszeit für Verteilung und Veröffentlichung.

Die Teilnehmer diskutierten auch Möglichkeiten zur Beschleunigung und Verbesserung der Verwendung von Softwarestücklisten, wie von gefordert Dekret des Präsidenten, um die Kenntnis des Inhalts der von Washington gekauften Software zu erleichtern.

Google hat angeboten eine öffentlich-private Partnerschaft zur Ermittlung einer Liste kritischer Open-Source-Projekte – wobei die Kritikalität auf der Grundlage des Einflusses und der Bedeutung eines Projekts bestimmt wird – um bei der Priorisierung und Zuweisung von Ressourcen für Sicherheitsbewertungen und Verbesserungen zu helfen, die am wichtigsten sind.

„Langfristig brauchen wir neue Wege, um Software zu identifizieren, die ein systemisches Risiko darstellen könnte – basierend darauf, wie sie in kritische Projekte integriert wird – damit wir das erforderliche Sicherheitsniveau vorhersehen und geeignete Ressourcen bereitstellen können“, sagte Google.

Was die Log4J-Schwachstelle betrifft, war Apache defensiv. „Die jüngste Schwachstelle in Apache Log4 war eine unglückliche Kombination unabhängig entwickelter Funktionen innerhalb der Java-Plattform“, sagte er. “Das Deaktivieren veralteter und unnötiger Funktionen, zumindest in einer Standardkonfiguration, hätte die Schwachstelle verhindert.”

Das Ergebnis des Treffens spiegelt einige der Schlussfolgerungen wider, die nach der Heartbleed-Schwachstelle gezogen wurden, sagte Johannes Ullrich, Forschungsdirektor am SANS-Institut. Die Linux Foundation hat sich bemüht, kritische Projekte zu katalogisieren, die Unterstützung benötigen. Daraus wurde OpenSSF (Open Source Security Foundation). „Ich glaube, die beim Treffen im Weißen Haus angesprochenen Punkte spiegeln sehr gut wider, was OpenSSF zu erreichen versucht“, sagte er in einer E-Mail. „Einige der Teilnehmer des Treffens im Weißen Haus sind bereits OpenSSF-Mitglieder/Unterstützer. Zusätzliche Finanzierung und Unterstützung sowie Öffentlichkeitsarbeit zur Identifizierung kritischer Komponenten sind erforderlich. Die Bemühungen von CISA, SBOMs (Software Bill of Material) zu verlangen, werden ebenfalls ein wichtiger Teil sein zu identifizieren, welche Komponenten kritisch sind und mehr Unterstützung benötigen.