Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Techbedrijven zetten stichting op voor beveiligen van opensourcesoftware

Verschillende techbedrijven, waaronder Microsoft, Red Hat en IBM, hebben samen met de Linux Foundation de Open Source Security Foundation opgericht. Die stichting gaat werken om opensourcesoftware veiliger te maken door de inzet van tools en standaarden.

De OpenSSF is afgeleid van de al bestaande Open Source Security Coalition. De OSSC-leden gaan verder in de OpenSSF. De nieuwe stichting is opgericht en wordt financieel gesteund door de Linux Foundation. De medeoprichters zijn naast Microsoft, Red Hat en IBM ook GitHub, Google, JP Morgan Chase, de NCC Group, Okta en Owasp.

Volgens de organisatie gaat OpenSSF zich aanvankelijk richten op het identificeren van de grootste problemen op het gebied van de veiligheid van opensourcesoftware. Daarna gaat de stichting bestaande beveiligingsstandaarden bijhouden en nieuwe standaarden opzetten. Er worden ook tools en metrics opgezet en beleid gemaakt voor bijvoorbeeld het ontsluiten van softwarekwetsbaarheden.

Binnen de stichting zijn verschillende comités. Aanvankelijk gaat het om vijf groepen die zich richten op securitytools, responsible disclosure van kwetsbaarheden, het opsporen van mogelijke gevaren, het opstellen van grote projecten en best practices.

Volgens Microsoft, een van de oprichters, is het initiatief belangrijk omdat opensourcesoftware juist door de open community kwetsbaar kan zijn. "Opensourcesoftware is inherent aangedreven door de community en daarom is er geen centrale autoriteit die de kwaliteit en het onderhoud verzorgt. Omdat broncode zo makkelijker kan worden gekopieerd en gekloond, is het vaak complex. Bovendien kunnen aanvallers zelf maintainers van projecten worden en malware implementeren", zegt het bedrijf.

Door Tijs Hofmans

Redacteur privacy & security

04-08-2020 • 13:44

51 Linkedin

Submitter: TheVivaldi

Reacties (51)

Wijzig sortering
Ik vind het zowel interessant als riskant.
Ten eerste is het natuurlijk altijd interessant als er geinvesteerd wordt in beter gereedschap.
Ten tweede is meer aandacht en geld voor het Linux-ecoyssteem ook een interessante ontwikkeling.
Het riskante deel is dat iedere linuxbeheerder rode angstvlekken krijgt bij het lezen van namen als Microsoft en JP Morgan Chase. De angst is dat dit soort clubs vooral komen om een stuk van de markt in te pikken en van alles en nog wat kapot maken uit hebberigheid of onbegrip.

Dat zijn natuurlijk vooroordelen, misschien moeten we ze het voordeel van de twijfel geven juist omdat ze met dit project meedoen. Hopelijk wordt dat duidelijker als het project zich verder ontwikkelt.

Even wat opvallende puntjes:
Microsoft (en) GitHub
Allebij? Github is toch eigendom van Microsoft? Ik geloof wel dat ze een hoop relevante expertise in huis hebben.
securitytools, responsible disclosure van kwetsbaarheden, het opsporen van mogelijke gevaren, het opstellen van grote projecten en best practices.
Ik zie meer "management" onderdelen dan "technische" onderelen. Die zijn ook nodig, dus het is niet bij voorbaat verkeerd. Misschien is er bij Vrije Software wel extra aandacht voor nodig. Maar als techneut zie ik de bui dan al hangen: veel papier, weinig actie.
Microsoft: "Opensourcesoftware is inherent aangedreven door de community en daarom is er geen centrale autoriteit die de kwaliteit en het onderhoud verzorgt. Omdat broncode zo makkelijker kan worden gekopieerd en gekloond, is het vaak complex. Bovendien kunnen aanvallers zelf maintainers van projecten worden en malware implementeren",
Het klinkt toch wel weer heel erg als de FUD uit de jaren 90.
Al die dingen kun je net zo goed over closed source software zeggen.
Daar gaan we:
"Closedsourcesoftware is inherent aangedreven door het bedrijfsleven en daarom is er geen centrale autoriteit die de kwaliteit en het onderhoud verzorgt. Omdat broncode achter gesloten deuren makkelijk kan worden gekopieerd en gekloond zonder toezicht van buiten, is het vaak complex. Bovendien kunnen aanvallers zelf het eigendom van projecten kopen en malware implementeren",

Geen speld tussen te krijgen. Als je een statement zo kan omdraaien is het meestal niet zo veel waard.
Beetje dubbel dit, aan de ene kant is het wel goed dat er naar security gekeken wordt. Aan de andere kant is het wel een beetje twijfelachtig. Krijg je dan straks weer geneuzel dat alleen opensource dat door dit comité is bekeken de juiste stempel krijgt? En andere software houdt het stigma van onveilig?

Ik krijg er een beetje jeuk van. En juist die hele niet autoritaire opzet is nu juist wal al deze software mogelijk heeft gemaakt. Als het van commerciële bedrijven afhankelijk was geweest dan lagen we nu nog krom voor elk stukje software. OpenSSH is ook gewoon tot stand gekomen omdat mensen met gedegen kennis van softwareontwikkeling het gewoon gemaakt hebben zonder ellenlang overleg in comités.
Krijg je dan straks weer geneuzel dat alleen opensource dat door dit comité is bekeken de juiste stempel krijgt? En andere software houdt het stigma van onveilig?
Die "stempel" is slechts de waarde die jij eraan hecht. Tenzij je de source code van ieder package van regel tot regel doorleest (en een truckload aan security kennis bezit) zal je altijd iemand moeten vertrouwen voor de code die je gebruikt, of deze secure is.

Nu is dat een radjetoe. Een stapel maintainers met verschillende reputaties. Vrijwel iedereen vertrouwt kernel.org, of de repo maintainers van Ubuntu, maar zomaar met sudo een dpkg installeren van een .ru site doet dan weer niemand.

Wat OpenSSF doet, is voor een set van de software een bepaalde garantie afgeven. Als je OpenSSF vertrouwd, kan je vanwege chain-of-trust alle software door hen is afgestempeld ook vertrouwen. Als je OpenSSF niet vertrouwd, doe je dat niet en zul je andere maatregelen moeten treffen.

[Reactie gewijzigd door JackBol op 4 augustus 2020 17:26]

En dat is precies de reden dat je niet bedrijven als MS die nauw samen ontwikkelt met de NSA (Ze hebben daarvoor speciale afdeling binnen het NSA gebouw) "veiligheid" wil laten ontwikkelen voor Linux.

Wat er ontwikkeld gaat worden is naast veiligheid, slimme backdoors die bijvoorbeeld bestaan uit een combinatie van zwakten. Als ze ontdekt worden, zeggen ze bedankt, halen ze die er gewoon uit, en maken er weer nieuwe in, want de zaak is constant in ontwikkeling, dus vol op gelegenheid.

Wat we nu zien is al een tijd bezig. De overname van de Linux door de corporaties en Amerikaanse veiligheidsdiensten. Niemand gelooft toch serieus dat die een systeem toestaan, waarop zij niet kunnen inbreken?

Wat is de reden dat Microsoft zich zo met Linux en nu ook de veiligheid van Linux gaat bemoeien? Daar zit meer achter dan hun cloud. De achtergrond zal zeker ook zijn dat de Chinese overheid bezig is met een transitie van Windows naar Linux. De oplossing is ongetwijfeld te zorgen dat ze hun backdoors de Linux kernel inloodsen. Zie "China standaardiseert OS rond Ubuntu"
De Amerikaanse overheid maakte zich enkele jaren geleden al zorgen over China's Kylin. Beveiligingsspecialisten waarschuwden een congrescommissie dat het doel van het beveiligde OS is om cyberaanvallen vanuit de VS te dwarsbomen en als platform dient voor Chinese staatshackers . “China is aan het schaken, terwijl wij nog aan het dammen zijn", waarschuwde een beveiligingsspecialist.
Lezen jullie dat ook? "cyberaanvallen vanuit de VS te dwarsbomen". Hoe durven ze! Schande! Maar ze geven het in ieder geval toe. Dat is voor deze serieleugenaars al heel wat. Nou ja, sinds Trump is liegen niet langer verkeerd, maar iets wat je openlijk kan doen en toegeven zonder je te schamen. Het is "de nieuwe normaal", zou onze premier zeggen.

De Linux foundation is al een tijdje stevig in handen van Amerikaanse multinationals. De community heeft er niet eens meer een vertegenwoordiging in. Nadat ze de macht hebben overgenomen, hebben ze doodleuk de vertegenwoordigers van de community buitengesloten. Lees: "Linux Foundation laat community geen bestuursleden meer kiezen’. Nee, communityleden willen we er niet bij hebben als we onze snode plannetjes lopen bespreken.

Ik hoop dat het bewustzijn onder open source developers, die de open source gedachte een goed hart toedragen, groeit dat dit geen open source meer is. Open source is opgericht om de kleine man vrij te maken van de verstikkende macht van corporaties, niet om die te helpen het goedkoop uit te rollen omdat het rechtenvrij is en ontwikkeld wordt door naïevelingen, die denken dat ze de wereld vooruit helpen, door mensen aan zogenaamd gratis producten te binden.

Laat open source developers liever richten op projecten voor de community zelf en niet voor bedrijven als Google, Facebook, Microsoft, Uber, enz.

Laat ze ook afstand nemen van de copyleft voor niet-community-projecten. Want dat bevoordeelt de grote corporaties, maar maakt de kleine developers juist brodeloos en dwingt ze te werken voor corporaties. De kleine developer moet open source code vrij kunnen gebruiken in zijn projecten zonder de rechten over zijn eigen code te verliezen. Wat kleine developers kunnen niet van de services leven zoals grote corporaties. Dus code onder MIT licenties uitbrengen, dan kunnen kleine developers het vrij en winstgevend gebruiken.

We willen terug naar het idee van hardware, software, internet en communicatie die niet gecontroleerd wordt door grote corporaties. Nog nooit was dat zo urgent als heden ten dage. Dit filmpje is symbolisch hoe fout het allemaal gelopen is. De nieuwe IT giganten als Microsoft, Google, Apple hebben meer macht over de individuele mens dan de hippies in hun ergste nachtmerries hadden kunnen dromen. Gewoon weer terug gaan naar klein community denken en weg van de grootschaligheid die mensen reduceert tot mieren.

Kijk niet of code open source is, maar of het primair individuele mensen dient. Open Source is in handen van corporaties net zo een schijn-label als het groene label. Het bewerkt in praktijk het tegendeel van wat het heet te beogen. Met de mond zijn grote bedrijven het ideële toegedaan, maar in hun werkelijke handelen niet.

[Reactie gewijzigd door Elefant op 5 augustus 2020 11:18]

Ik vind het nogal een tranen trekkend verhaal van je.
Open source is opgericht om de kleine man vrij te maken van de verstikkende macht van corporaties, niet om die te helpen het goedkoop uit te rollen omdat het rechtenvrij en ontwikkeld wordt door naievelingen, die denken dat ze de wereld vooruit helpen, door mensen aan zogenaamd gratis producten te binden.
Deze software is niet rechtenvrij, maar gepubliceerd onder GPL, BSD, Apache of een andere OSS licentie. Als je niet wilt dat grote coöperaties je software gebruiken, moet je gewoon niet onder een OSS licentie publiceren. Niets houdt je tegen om een restrictieve licentie op je source code te zetten.

Maar je kan niet claimen dat je open source proponent bent, behalve voor een select aantal gebruikers. Dat is simpelweg willekeur.
Laat open source developers liever richten op projecten voor de community zelf en niet voor bedrijven als Google, Facebook, Microsoft, Uber, enz.
Nogmaals, vreemde definitie van open source heb jij. Google even ‘rms’ of ‘fsf’ om te kijken wat ooit de bedoeling was van open source.
De kleine developer moet open source code vrij kunnen gebruiken in zijn projecten zonder de rechten over zijn eigen code te verliezen.
Heb je ooit GPLv3 gelezen?
EDIT: misschien lees ik deze verkeerd om. Bedoel je dat een kleine developer OSS zou moeten kunnen gebruiken zonder de rechten op zijn eigen code te moeten opgeven? In dat geval kan die developer alleen BSD code incorporeren. Onder GPL is deze developer just verplicht zijn code waar GPL in opgenomen is te herpubliceren (om niet te infringen op de rechten van de developer die de initiele, onder GPL gereleasde code). Zoals het ook hoort in mijn ogen.

[Reactie gewijzigd door JackBol op 4 augustus 2020 17:39]

De bekende dooddoeners.

Je hebt theorie en je hebt praktijk. Zolang er in de Linux gemeenschap hetzes worden gemaakt tegen software die niet onder GPL3 wordt gepubliceerd, blijft de meeste code onder GPL gepubliceerd worden en is deze niet vrij bruikbaar in eigen commerciele projecten. Ik zou ontwikkelaars dus op willen roepen om hun oude en nieuwe code uit te brengen onder MIT.

Er moet een mentaliteitsverandering plaatsvinden. De ideeën van Richard Stallman zijn zwaar achterhaald. Hij definieert vrijheid als privacy en hackbaarheid, maar open source heeft bedrijven als Google en Facebook opgeleverd die de grootste bedreiging voor privacy zijn. Het feit dat je een deel van de code in kan zien, helpt niet. Aan het afdwingen van hackbaarheid heeft de gewone gebruiker ook weinig. Dat wij ons kunnen beschermen tegen de geheime diensten is sowieso een illusie.

Waar we weer het accent op willen leggen is ONAFHANKELIJKHEID. Dat is een veel belangrijker aspect van vrijheid in een samenleving die overgenomen wordt door corporaties. Apparaten en services hebben die niet gebonden zijn aan centrale netwerken, clouds, IP van bedrijven. Daarvoor is het nodig dat kleine developers een goede boterham kunnen ontwikkelen met open source.

Laat developers verwijzen naar de code die hij in zijn product heeft gebruikt. Stallman en co hebben flink gelobbied om dat er juist uit halen bij BSD. Het zou te veel moeite zijn. Klets. Veel erger is dat GPL (in zijn meest gebruikte vorm) dwingt om alle code vrij te geven, waardoor anderen eenvoudig je product kunnen kopiëren. Zo kan je niets meer verdienen. Dan moet je maar verdienen op de services er omheen. zegt Stallman. Dan krijg je dus bedrijven als Google, kleine bedrijven lukt het zelden. Geeft niet zegt Stallman, dan moeten ze maar een andere baan zoeken. Zo is de open source gemeenschap gaan ontwikkelen voor corporaties.

Jonge developers beginnen dan met GPL, en pas als het een succes wordt, gaan ze realiseren dat ze hun code moeten beschermen. Helaas hebben ze die dan al onder GPL vrij gegeven en dat kan je niet meer ongedaan maken. Concurrenten kunnen hun werk dan simpel kopiëren. Zo is Mark Zückerberg miljardair geworden door de code van anderen te kopiëren nadat die hem gevraagd hadden de web interface af te maken.

We willen standaard weer naar MIT, BSD licenties gaan, en niet voor code van hele programma's, maar nuttige code voor bouwstenen die je in kan zetten in projecten zonder dat je je hele programmacode vrij moet geven.

[Reactie gewijzigd door Elefant op 4 augustus 2020 22:10]

Jammer dat je mijn opmerkingen af doet als dood-doeners. Dat maakt je argument wat je daarna maakt namelijk zwakker.

Ik ben het met je eens dat we controlerende functies in onze rechtsstaat moeten inbouwen op nieuwe partijen die de vrijheid, veiligheid en gelijkheid in gevaar kunnen brengen. Hier schaal ik ook zeker partijen als Google en Facebook onder, maar ook bijv. de belastingdienst of een huurstichting die een algoritme heeft dat allochtonen uitfiltert.

Je kan ideologisch zijn, maar het gebruik van OSS door commerciële instanties verbieden, gaat in mijn ogen helemaal niets oplossen.


Verder staat niets je in de weg om een Fairphone te kopen of een private cloud op je Synology te draaien. Maar laat daar iedereen alsjeblieft vrij in. Ik ben helemaal happy met iCloud en Office 365.

[Reactie gewijzigd door JackBol op 4 augustus 2020 17:55]

Het probleem is dat deze bedrijven alleen maar nemen. 90% van de software dat draait in AWS is opensource, en omdat het in hun eigen Cloud draait en technisch dus niet verkocht wordt, hoeven ze de eventuele aanpassingen aan de source code niet publiekelijk te maken. Je hebt hier dus partijen die miljarden verdienen aan het werk van anderen zonder zelf ook maar wat terug te geven.

Als jan met de korte achternaam ontwikkelaar kun je dus niet op de schouders van reuzen staan omdat eventuele aanpassingen die je aan de software maakt, en commercieel wilt verkopen, moet je ook publiekelijk maken.

Ik snap het idee erachter alleen de uitwerking is asymmetrisch vanwege de machtsverschillen. En Stallman zijn ideeën zijn nog steeds wel ok denk ik. :)
Lees je eigenlijk wel, voor je reageert?
Houdt aub je reacties op de inhoud, anders stop ik ermee.
Daarnaast heb je je artikel significant aangevuld nadat ik gereageerd had.
Hoezo OSS door commerciële instanties verbieden? Wie wil dat?
Wellicht leidt ik dat af aan het feit dat je er een probleem mee hebt dat commerciële instanties OSS gebruiken?
Ik zeg alleen dat de Linux gemeenschap niet gratis moet gaan werken voor corporaties. Die domheid moet eens een keer stoppen.
Wie verplicht een developer om voor nop voor commerciele instanties te developen?

[Reactie gewijzigd door JackBol op 4 augustus 2020 18:17]

We willen standaard weer naar MIT BSD licenties gaan, en niet voor code van hele programma's, maar nuttige code voor bouwstenen die je in kan zetten in projecten zonder dat je je hele programmacode vrij moet geven.
MIT BSD is nog vrijer dan GPL.

Als jij code onder MIT publiceert, mag ik die aanpassen, compileren en op CD verkopen voor geld zonder dat ik de regels overtreedt.
Prima, zo hoort het. Het is Public Domein, vrij in het gebruik.

Waarom zou een kleine developer er geen boterham mee mogen verdienen, maar Google wel omdat zij van de services kunnen leven? Je wil juist dat kleine developers er een boterham mee verdienen. Maar je wil niet de hele code van de app moeten vrijgeven, zodat een ander het even kan kopiëren en er geld voor vragen zonder er ook maar iets aan toegevoegd te hebben, tenzij je het zelf niet wil uitbaten.
Ik hoop dat het bewustzijn onder open source developers, die de open source gedachte een goed hart toedragen, groeit dat dit geen open source meer is. Open source is opgericht om de kleine man vrij te maken van de verstikkende macht van corporaties, niet om die te helpen het goedkoop uit te rollen omdat het rechtenvrij is en ontwikkeld wordt door naïevelingen, die denken dat ze de wereld vooruit helpen, door mensen aan zogenaamd gratis producten te binden.
Ik maak daarom duidelijk onderscheid tussen "Open Source" en "Free Software", ook al wordt er wel gesteld dat die twee hetzelfde zijn.

In mijn ogen laat "Open Source" puur op het zakelijke deel: een stel licentievoorwaarden waarbij je inzicht kan krijgen in de source en die vaak ook mag hergebruiken.

"Free Software" is een filosofie over de relatie tussen mens en computer die stelt dat software zo'n grote invloed op ons leven heeft dat mensen het recht moeten hebben om te weten hoe die software werkt en de mogelijkheid om die te veranderen. Binnen die filosofie is "open source" een manier om die doelen te bereiken.

Wat deze bedrijven doen is in mijn ogen wel "Open Source" maar geen "Free Software".
Als je wilt dat OSS serieus wordt genomen ontkom je hier niet aan. Het is momenteel zo groot dat je het niet meer hobbyprogrammeren op de zolderkamer kunt zien. Daar is het te belangrijk voor geworden.
Het is echt onzin om iets automatisch als "hobbyprogrammeren" te bestempelen puur en alleen omdat de grote techbedrijven er niet achter staan. Open-source wordt al lang "serieus genomen"; daar is geen stempel van Microsoft, Google, of wie dan ook voor nodig.

Bovendien vind ik het persoonlijk ook nogal beledigend, als open-sourceprogrammeur die vele uren per week besteedt aan het bouwen van robuuste software, uitzoeken en oplossen van problemen in bestaande software, en lesgeven in hoe betere software te bouwen.

[Reactie gewijzigd door svenslootweg op 4 augustus 2020 22:01]

Je doet net of dat elke commit gewoon willy nilly in de kernel wordt gejast. Wat natuurlijk onzin is, elke commit wordt, binnen redelijk belangrijke OSS projecten, eerst door een aantal mensen bekeken die Subject Matter Experts zijn. Zie Linus zijn rant over code van Intel, toch niet echt zolderkamer programmeurs.
Inderdaad een beetje dubbel. Feit dat het is opgericht door de Linux Foundation stelt wel gerust, die laten zich vast niet de kaas van het brood eten. Maar als ik 'JP Morgan Chase' zie dan kan ik dat niet loszien van de indrukwekkende lijst met Controverses zoals genoemd op hun wikipedia entry. Mogelijk zitten ze erbij op verzoek van andere partijen met security belangen maar dan nog.

[Reactie gewijzigd door mekkieboek op 4 augustus 2020 15:18]

Wat me het meest tegenstaat is dat deze producten groot geworden zijn door mensen die hun vrije tijd erin gestoken hebben en dat het afgedaan werd als spielerei door de grote software boeren. "Ah Linux, dat is voor prutsers/nerds" en nu het veel gebruikt wordt omdat mensen het fijn vinden om niet aan een specifieke software boer vast te zitten proberen ze er toch zeggenschap over te krijgen. Tenminste zo komt het een beetje over.

Let wel dat als je nu dus een fork maakt, deze natuurlijk niet de juiste stempel krijgt. Want je kan er van alles in aangepast hebben. En dan krijg je straks van die bedrijven over de vloer ( KPMG ) en die dwingen je dan dat je wel de "juiste" versie van een OSS product draait anders kunnen ze er niet voor instaan.

Misschien als ze de developers ,waar ze de software van hebben gepakt voor hun Clouds, gewoon gecompenseerd hadden voor hun werk, dan hadden deze dit zelf kunnen doen.
Ik denk dat een bank die open source gebruikt zelf ook erg veel belang heeft bij veilige software :)
Helemaal mee eens, Sandor_Clegane.

Jouw 'jeuk' lijkt me niet geheel onterecht:
Ik moet denken aan Embrace, extend, and extinguish:
https://en.wikipedia.org/...e,_extend,_and_extinguish
Beetje dubbel dit, aan de ene kant is het wel goed dat er naar security gekeken wordt. Aan de andere kant is het wel een beetje twijfelachtig. Krijg je dan straks weer geneuzel dat alleen opensource dat door dit comité is bekeken de juiste stempel krijgt? En andere software houdt het stigma van onveilig?
Als je niet kunt aantonen dat je veilig werkt dan zullen we, als we veiligheid echt belangrijk vinden, moeten aannemen dat je niet veilig werkt. Zo simpel is het.
Wat versta je onder veilig werken? Zo simpel is het niet.
Wat versta je onder veilig werken? Zo simpel is het niet.
En daarom heb je dus clubs die daar standaarden voor opstellen. Dan kun je met elkaar afspreken dat voldoen aan die standaard als veilig werken geldt.
(Weggemodde domme opmerking door mijzelf)

[Reactie gewijzigd door Some12 op 4 augustus 2020 20:50]

De medeoprichters zijn naast Microsoft, Red Hat en IBM ook GitHub, Google, JP Morgan Chase, de NCC Group, Okta en Owasp.
Maar Microsoft is toch eigenaar van GitHub? Is het dan niet een beetje dubbel van OpenSSF om ze beide te vermelden?
Hoewel dat klopt vind ik het hier wel toepasselijk. Immers is GitHub de grootste/meest bekende Git/version control software die er is.
Waarschijnlijk zijn Github (en ook Red Hat zoals MarnickS al aangeeft) dusdanig grote zelfstandige business units, dat ze over dit soort zaken zelfstandige beslissingen kunnen maken. Waar het natuurlijk in een dergelijk voorbeeld bijzonder zou zijn als ze een compleet tegengestelde visie op nahouden, maar ik kan mij voorstellen dat bijvoorbeeld de consumententak van Samsung een ander beleid heeft op bepaalde standpunten dan de Techwin afdeling (hun militaire tak).
Ja, anders zouden we ook geen melding meer mogen maken van Red Hat, Skoda, Abellio, Hermes, etc. want die hebben ook allemaal één overkoepelende eigenaar.
Dat geldt ook voor Red Hat en IBM
Ik denk dat het niet zozeer om de eigenaren gaat, alsmeer het personeel wat erbij betrokken is. Dus zowel de directie van Microsoft als die van Github, ook al valt Github onder Microsoft. Wellicht ook een middel om wat meer grip op de groep te krijgen, ze hebben wellicht meer stoeltjes zo.

Maar gezien er veel OSS op github staat en veel bedrijven daar inmiddels afhankelijk van zijn, vind ik het niet raar dat ze er beiden in zitten. Dan is het lijntje wellicht wat korter.
Misschien zijn er meer bedrijven met die naam. Misschien is Microsoft-het-softwarebedrijf wel een zuster van Github en Azure en zijn het allemaal weer dochters van Microsoft-de-holding. Dat soort constructies zijn niet ongewoon.

Ik heb zelf ook ooit gewerkt bij een bedrijf wat de dochter was van een holding met dezelfde naam.
GitHub is een dochterbedrijf van Microsoft.
Misschien was GitHub een van de oprichters voor ze aangekocht werden door Microsoft. Just a guess.
Met name het laatste is al een paar keer gebeurt....
Toch listig als je een hele zwik software van een cdn af haalt zonder te weten dat het absoluut veilig is...
Zou handig zijn moest je bij OpenSSF een digitale signature voor door hen geverifieerde packages kan krijgen om je packages mee te signen.

Dan kunnen consumenten de keys van OpenSSF toevoegen aan hun package manager om alleen door OpenSSF signed packages toe te laten.

Dat er package managers zijn die zonder zulke signing werken is dan meteen die package managers hun probleem: die zijn sowieso onbetrouwbaar.
Hoe ga je sleutels intrekken van packages die veilig leken toen ze uitkwamen, maar het nu niet meer zijn? En wat voegt het toe t.o.v. een goed beheerde repository?
Hoe ga je sleutels intrekken van packages die veilig leken toen ze uitkwamen, maar het nu niet meer zijn?
Middels een CRL?
En wat voegt het toe t.o.v. een goed beheerde repository?
Niets. Maar hoe weet jij of een repository goed beheerd wordt als ze dat niet kunnen aantonen? Bijvoorbeeld door aantoonbaar (door audits) aan standaarden te voldoen.
Beetje lastig natuurlijk bij packages die dagelijks/wekelijks veranderen.. Want als het eenmaal geautomatiseerd gebeurd, dan is het al weer twijfelachtig.
Hmjaaaaaa,

Maar dan is er wel weer een of ander heel onbenullig libje ergens wat heel veel gebruikt wordt door andere packages....
De maintainer is het zat en er komt een nieuwe minder betrouwbare maintainer..(ook al gebeurd)
En in dat geval doet OpenSSF een audit, revoked the key en consumenten krijgen de packages van de minder betrouwbare maintainer niet automatisch geïnstalleerd.

Die nieuwe maintainer kan dan aan OpenSSF een nieuwe audit aanvragen en de daarbij horende nieuwe key krijgen (als de audit daarna wel goed is). En die aan zijn package-signatures toevoegen. Waarna consumenten zijn nu wel betrouwbaar geachtte packages als updates zien.
Klinkt op papier leuk, maar misschien krijgt de originele maintainer wel gewoon 100k ook de andere kant op te kijken....

100k is natuurlijk helemaal niets voor een doorgewinterde hackers club.

Als je een super standaard package kan laten infecten waardoor de bijvoorbeeld bij 10 grote internationale bedrijven ransomware kunt installeren dan is een tonnetje peanuts.....

Terwijl dat voor de maintainer wel een heel groot bedrag kan zijn...

Blijft gewoon eng

[Reactie gewijzigd door well0549 op 4 augustus 2020 17:18]

Dat mislukt in het scenario dat ik schets omdat OpenSSF een audit doet en bovenop de originele maintainer een eigen key uitgeeft. Beide keys (die van de originele author en die van OpenSSF) moeten geverifieerd worden bij package managers die de OpenSSF audit key vereisen.
"Opensourcesoftware is inherent aangedreven door de community en daarom is er geen centrale autoriteit die de kwaliteit en het onderhoud verzorgt. Omdat broncode zo makkelijker kan worden gekopieerd en gekloond, is het vaak complex. Bovendien kunnen aanvallers zelf maintainers van projecten worden en malware implementeren"
Dat is maar net welk project het betreft, er zijn ook producten die hier wel aandacht aan besteden. (Kernel, glibc, Nextcloud, KDE, ...)
Idd. Dit is OS bashing. Ja, MS staat bekend om de hoge kwaliteit en veiligheid <ahum>
Allemaal leuk, meer management en minder programmeurs die het echt veiliger maken. Hoe functioneel die automatische tools zijn, daar heb ik toch wel mijn twijfels bij.
Omdat ze beide onafhankelijke entiteiten zijn. Redhat werkt nog steeds afzonderlijk zonder direct contact met IBM en hetzelfde met Github en MS.
Best wel een aardig initiatief. Nu draait de uefi boot van linux op een certificaat van microsoft. Dat kan dan over naar deze onafhankelijkere organisatie.

Daarnaast kan gewerkt worden aan het van een certificaat voorzien van de objecten en binaries en mogelijk een constructie dat de bijgaande source ook gecertificeerd bij voegd, een beetje zoals scripts gecertificeerd kunnen worden. Dan weet je zeker dat de gecertificeerde binary uit de gecertificeerde source is opgebouwd.

En nu ik er aan denk: Mogelijk komt er tooling en/of een distributie formaat waarin de wijzigingen op gecertificeerde code/scripts apart te herkennen zijn, zodat alleen de wijzigingen hoeven worden nagezien. Of is er al zoiets?
Uitstekend initiatief. Open Source staat nu eenmaal niet gelijk aan veilige software. Denk aan de problemen met OpenSSL of GNUTLS. Dit soort fundamenten moeten gewoon veilig zijn, het is te gek voor woorden dat de IT industrie meer en meer de Open Source software als basis gebruikt en geen giveback doet.

Dus uitstekend dat er een separate stichting is gestart met dat doel. Laten we hopen dat het net zo succesvol wordt als CNCF.
Ik vind het volgende wel ironisch:
Volgens Microsoft, een van de oprichters, is het initiatief belangrijk omdat opensourcesoftware juist door de open community kwetsbaar kan zijn. "Opensourcesoftware is inherent aangedreven door de community en daarom is er geen centrale autoriteit die de kwaliteit en het onderhoud verzorgt. Omdat broncode zo makkelijker kan worden gekopieerd en gekloond, is het vaak complex. Bovendien kunnen aanvallers zelf maintainers van projecten worden en malware implementeren", zegt het bedrijf.
en als je daarna de plaatjes bekijkt op:

IIS6 vs Apache syscall graph

Aangezien software security inherent verbonden is aan software quality kun je wel zeggen dat Microsofts bewering lang niet altijd waar is. In de afbeelding zien we overduidelijk dat het Apache systeem beter in elkaar zit in termen van "low coupling, high cohesion".

Er zijn zat open source projecten waarbij er geen gebrek is aan een centrale autoriteit in de vorm van een klein groepje maintainers met het overzicht. Er zijn ook zat open source projecten waarbij de complexiteit lager is dan bij commerciele producten. Ongetwijfeld is er onder de opensource software natuurlijk ook een hoop rommel te vinden die slecht beveiligd is.

De opmerking van Microsoft vind ik een beetje dubbel dus. Maar verder doet het niks af aan zo'n initiatief, als opensource nu maar niet de sticker "onveilig" gaat krijgen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True