7. April 2024

Softwaresikkerhed i OSS-projekter

Open Source-miljøet står for mig som noget smukt, hvor mennesker arbejder sammen på tværs af forskelle. Det er “the world done right”, når det fungerer. Fundamentet for Open Source er samarbejde og tillid til hinanden. Det må ikke svækkes. Nogensinde.

Den skærende kontrast er til OSS, at verden udenfor desværre i mange henseender alt for ofte præges af konflikter, konkurrencementalitet og magtkampe. Konkurrencementaliteten er så indgroet et samfundselement, at vi nogle gange knapt opdager, når vi bliver udsat for den.

Det lykkes - for det meste - projektejerne og bidragsyderne til Open Source Software (OSS) at parkere den slags ude i den virkelige verden, og fokusere på den fælles opgaveløsning. Det nylige Supplychain-angreb på xz-projektet kalder dog på, at der skal hankes op i sikkerheden helt generelt i OSS-projekter. Men hvordan?

I tilfældet med xz-projektet var bagdøren ikke bare et enkeltstående “hit-and-run” commit, men tilsyneladende metodisk orkestreret af en betroet bidragsyder, der havde bidraget til projektet gennem en lang periode.

Hændelsen er forfærdentlig, det er mig ubegribeligt, at nogen aktivt forsøger at destabilisere det gode, tillidsbaserede samarbejde. Men det er et bevis på, at virkeligheden har indhentet Open Source-miljøet. OSS-miljøet må stå sammen, reagere, og vise, at man ikke accepterer folk, der vil underminere frisindet og idylen.

Spørgsmålet er, hvordan man bedst forener frivillig, interessedrevet udvikling med et øget fokus på sikkerhed.

Mange proprietære, closed source projekter indeholder Open Source-komponenter. Netop fordi OSS bruges i så stort omfang, også i lukkede miljøer betyder, at alle burde have et incitament for, at OSS-miljøet kommer styrket ud af det her.

For at blive konkret - hvad er der egentlig af muligheder? Et sted at starte, kunne være at få integreret kodeskanningsværktøjer i sit workflow, også i små og mellemstore projekter. Selvom dit projekt lige nu er et lille hyggeprojekt, så kan den slags hurtigt gribe om sig.

Enter, OWASP Foundation. OWASP er en non-profitorganisation, der arbejder for at højne sikkerheden i OSS-projekter - og de har lavet en fin liste over åbne og closed-source kodescanningsprojekter.

Listen findes her:
https://owasp.org/www-community/Source_Code_Analysis_Tools