Linux Foundation nimmt den Schutz der Software Supply Chain ins Visier
Das LFX-Security-Tool unterstützt Open-Source-Projekte bei der Schwachstellensuche, dem Schutz von Credentials und dem Vermeiden ausgrenzender Sprache.
(Bild: Romolo Tavani/Shutterstock.com)
Im Rahmen des Linux Foundation Membership Summit hat die Open-Source-Organisation neue Funktionen für ihre LFX-Tools angekündigt. Das Modul LFX Security soll sich künftig zum Schutz der kompletten Software Supply Chain in Open-Source-Projekten einsetzen lassen, vom Aufspüren bekannter Schwachstellen und sensibler Daten im Code bis zum Einhalten einer inklusiveren Sprache.
Erweiterte Schwachstellen-Scans
LFX Security geht auf eine gemeinsame Initiative der Linux Foundation (LF) und des auf sichere Anwendungsentwicklung spezialisierten Anbieters Snyk zurück. Das Werkzeug soll vor allem OSS-Entwicklerinnen und -Entwickler dabei unterstützen, sichereren Code bereitstellen zu können. Während Snyk seine Backend-Engine für Schwachstellen-Scans mit dem frei verfügbaren Tool beisteuert, bringt die LF die gesammelten Sicherheitsdaten aus den von ihr verwalteten Projekten und Ökosystemen ein, und ordnet sie in den passenden Kontext ein.
Die nun aktualisierte Version von LFX Security bietet unter anderem erweiterte Fähigkeiten für die Schwachstellensuche in Open-Source-Komponenten und Dependencies. Das Tool gibt Empfehlungen für den Umgang mit aufgespürten Problemen oder nennt die geeigneten Maßnahmen zum Beseitigen bekannter Schwachstellen. Dadurch werden Entwicklerinnen und Entwickler in die Lage versetzt, bereits am Anfang ihrer Software Supply Chain auftretende Probleme so früh wie möglich zu erkennen und zu beheben.
LFX Security hilft darüber hinaus beim Schutz sensibler Daten, mit denen sich Hacker Zugriff Repositorys und andere wichtige Coderessourcen verschaffen könnten. Eine von BluBracket beigesteuerte Technik spürt beispielsweise Kennwörter, Anmeldeinformationen, Schlüssel und Zugriffstokens im Code auf, sodass Entwicklerteams sich gezielter dem Schutz dieser sensiblen Daten widmen können.
Von der Blacklist zur Denylist
Eine weitere neue Funktion im Security-Werkzeug der LF, die ebenfalls auf BluBracket zurückgeht und in Zusammenarbeit mit der Inclusive Naming Initiative entwickelt wurde, soll die Community-Bemühungen um eine weniger ausgrenzende Sprache in Open-Source-Projekten fördern. LFX Security spürt dazu Begriffe wie Master/Slave, Whitelist/Blacklist oder abort/Abortion auf, die umgehend aus dem Code entfernt beziehungsweise ersetzt werden sollten.
Weitergehende Informationen zu LFX Security finden sich Blogbeitrag der Linux Foundation. Das Tool steht im Rahmen der OpenSSF-Initiativen über die Website der Organisation kostenfrei zur Verfügung.
(map)
