Mikaël Barbero, Head of Security bei der Open Source Organisation Eclipse Foundation, widmet sich in einem Statement der Antwort auf diese Frage. Er betont, dass Malware zunächst gleichermaßen eine Bedrohung für kommerzielle als auch für Open Source Software (OSS) darstellt. Häufig würden Cyberkriminelle jedoch auf Schwachstellen abzielen, die eine möglichst große Angriffsfläche bieten. Der Security-Experte gibt zu bedenken, dass bis zu 90 Prozent aller Software-Infrastrukturen auf OSS basieren. Damit werde sie immer mehr zum Hauptziel von Angriffen.
Derzeitige Sicherheitspraktiken sind wirksam
Angesichts dieser Tatsachen sei es offensichtlich, dass die Bedrohungen für die Softwaresicherheit nicht nur real seien, sondern auch anhaltend. Die beruhigende Nachricht sei jedoch, so Barbero, dass sich die derzeitigen Sicherheitspraktiken als wirksam erwiesen hätten. Jüngste Vorfälle wie die Linux SSH Schwachstelle und der ‚xz utils‘-Angriff konnten beide erfolgreich abgewehrt werden, weil die Community schnell reagiert und ihre Schutzmaßnahmen umgesetzt hat, merkt Barbero an. Die Zusammenarbeit der Community sei die beste Verteidigung gegen solche Angriffe
Eigene Richtlinien und Unterstützung
Um Abwehrmaßnahmen zu verstärken, habe die Eclipse Foundation das SLSA-Framework für die von ihr betreuten Projekte übernommen. Darüber hinaus entwickelt die Organisation ihre eigenen Sicherheitsrichtlinien. Als ebenso wichtig hebt Barbero das Engagement der Organisation hervor, die Mitglieder bei der Anpassung ihrer Projekte an neue Regulierungen wie den Cybersecurity Resilience Act zu unterstützen. Als Teil eines proaktiven Ansatzes habe man kürzlich die Open Regulatory Compliance Initiative ins Leben gerufen, an der weitere führende Stiftungen wie die Apache Software Foundation, OpenSSF Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation und Rust Foundation beteiligt seien. Gemeinsam wollen die Organisationen auf Best Practices basierende Prozessspezifikationen entwickeln, um die Einhaltung dieser sich entwickelnden Regulierungen zu erleichtern. Damit würden Organisationen, die Open Source einsetzen, in die Lage versetzt, diese Regularien effizienter umzusetzen.
