Die Open Source Security Foundation (OpenSSF) hat einen "bedeutenden Meilenstein" erreicht, indem sie einen neuen Satz bewährter Verfahren veröffentlicht hat, um die Sicherheit von Open Source-Projekten zu verbessern. Die Open Source Project Security (OSPS) Baseline umfasst die verschiedenen Aufgaben, Prozesse, Artefakte und Konfigurationen, die Entwickler implementieren müssen, um Risiken zu mindern, das Vertrauen zu stärken und die Einhaltung globaler Vorschriften wie dem Cyber Resilience Act (CRA) der EU zu verbessern. Sie ist auch mit anderen bewährten Standards und Frameworks wie dem NIST Secure Software Development Framework (SSDF) abgestimmt, so die OpenSSF. Die OSPS Baseline wurde aus vorhandenen bewährten Verfahren erstellt, die von der OpenSSF und anderen Branchengruppen bereitgestellt wurden, und bietet ein "gestaffeltes Framework" von Aktivitäten, das je nach Reife des Projekts variiert. Weitere Informationen zur Sicherheit von Open Source finden Sie hier: Angriffe auf Open Source-Repositorys steigen in drei Jahren um 700 Prozent. Die unabhängige Open Source Community Managerin Stacey Potter sagte, dass die Initiative von dem Feedback während der Pilotphase profitiert habe. "Wir wissen, dass es schwierig sein kann, sich in all den Sicherheitsstandards zurechtzufinden, also haben wir ein Framework entwickelt, das mit Ihrem Projekt wächst", fügte sie hinzu. "Unser Ziel ist es, das Rätselraten zu beseitigen und den Verantwortlichen Sicherheit zu geben, ohne zusätzlichen Stress zu verursachen. Es geht darum, die Community zu stärken und Open Source für alle sicherer zu machen." Ben Cotton, Open Source Community Lead bei Kusari und OSPS Baseline Co-Maintainer, betonte den Fokus auf "handlungsorientierte, praktische Anleitungen", um Entwicklern dabei zu helfen, ihre Sicherheitslage zu verbessern. "Zu oft sind Sicherheitsempfehlungen vage oder unpraktisch, aber die Baseline zielt darauf ab, das zu ändern", argumentierte er. "Jede Verbesserung der Sicherheit von Open Source stärkt das moderne Software-Ökosystem und macht es für alle sicherer." Jamie Scott, Gründungsproduktmanager bei Endor Labs, begrüßte die Initiative vorsichtig, argumentierte jedoch, dass kleinere Projekte nicht erwartet werden können, den Richtlinien zu folgen. "Die OpenSSF-Sicherheitsgrundlage ist ein zweischneidiges Schwert für die Branche. Sie hat das Potenzial, uns voranzubringen oder zurückzuhalten. Der Schlüssel liegt darin, wie wir sie nutzen", sagte er. "Was vernünftig ist, ist es, Reifegrade sichtbar zu machen, damit der Privatsektor informierte Risikomanagemententscheidungen treffen kann. So machen wir diese Baselines zu einem bedeutsamen Symbol für die Reife von Open Source-Projekten." Mike McGuire, Senior Manager bei Black Duck, sagte, dass die OSPS Baseline dazu beitragen sollte, Risiken in der Software-Lieferkette zu mindern. "Initiativen wie Zugangskontrolle, Schwachstellenmanagement und Branchenschutz sperren die gängigen Wege, die Angreifer nutzen, um ein legitimes Projekt zu übernehmen und die Grundlagen für einen Angriff auf die Lieferkette zu legen", sagte

Quelle: https://www.infosecurity-magazine.com/news/openssf-security-framework-open/