Die Open Source Security Foundation (OpenSSF) hat angekündigt, die Eclipse Foundation und die Python Software Foundation mit jeweils 400.000 US-Dollar zu fördern. Die Finanzspritze ist eine Maßnahme des Alpha-Omega-Projekts und soll in dedizierte Ressourcen und Personal für die Security der Open-Source-Projekte fließen. Im Mai hatte die OpenSSF bereits Node.js mit 300.000 US-Dollar unterstützt.

Die Linux Foundation hat die OpenSSF 2020 ins Leben gerufen, um die Sicherheit von Open-Source-Software zu verbessern. Mit demselben Ziel trafen sich im Februar 2022 Vertreter von Technikfirmen, US-Behörden und Non-Profit-Organisationen im Weißen Haus. Daraus entstand schließlich das Alpha-Omega-Projekt, das vor allem die Security der Software Supply Chain im Blick hat.

Die Twens unter den Open-Source-Stiftungen

Die erste Förderung im Rahmen der Alpha-Omega-Initiative erhielt die JavaScript-Laufzeitumgebung Node.js. Nun folgen mit der Python Software Foundation (PSF) und der Eclipse Foundation zwei weitere große Open-Source-Stiftungen. Letztere feierte im November 2021 ihren 20. Geburtstag und beherbergt unzählige Projekte, darunter die Eclipse IDE und der Java-EE-Nachfolger Jakarta. 22 Arbeitsgruppen widmen sich spezifischen Themen wie IoT, Edge Computing, Open Hardware und autonomem Fahren.

Die PSF ist ein paar Monate älter als die Eclipse Foundation und feierte bereits im März 2021 ihren Zwanzigsten. Sie kümmert sich um die Weiterentwicklung von Python und verwaltet zudem den Paketmanager Python Package Index (PyPI). Letzterer ist ebenso wie der JavaScript-Paketmanager npm immer wieder Ziel von Supply-Chain-Angriffen. Aber auch versehentliche Pannen können die Softwarelieferkette gefährden.

Geld für Personal und Supply Chain

Die 400.000 US-Dollar für die PSF sollen zum einen in eine neue Stelle fließen, die in Vollzeit für die Security der Programmiersprache, des PyPI und des Python-Ökosystems verantwortlich ist. Außerdem soll das Geld einen Security-Audit ermöglichen.

Die Eclipse Foundation hat bereits im Mai einen eigenen dedizierten Security-Beauftragten ernannt. Die Finanzspritze soll in weiteres Personal und Ressourcen fließen, um die Sicherheit der Software Supply Chain sicherzustellen. Die Stiftung hat letztes Jahr ein Dokument mit Best Practices für die Absicherung der Softwarelieferkette auf GitHub veröffentlicht.

Die Eclipse Foundation zeigt in dem Beitrag zu den Best Practices einen Überblick über die Gefahren für die Software Supply Chain. (Bild: Eclipse Foundation)

Eine etwas andere Freibieranalogie

Der Chef der Eclipse Foundation Mike Milinkovich hat in einem Blogbeitrag angekündigt, das Geld vor allem in das automatische Generieren von SBOMs (Software Bill of Materials), ein SLSA-basiertes (Supply-Chain Levels for Software Artifacts) Programm und Security-Audits für die Projekte der Eclipse Foundation zu investieren.

In seinem Beitrag verwendet er auch die Freibieranalogie, allerdings anders als die Free Software Foundation, in deren Konzept für Freie Software der Begriff "frei" für Redefreiheit statt Freibier steht. Milinkovich schreibt dagegen, dass viele Open Source als "frei wie in Freibier" betrachten, sie aber als "frei wie in einem freien Welpen" behandeln sollten, was wohl impliziert, dass sie sie pflegen und sich an ihrer Aufzucht beteiligen sollten: "Sich an der Aufrechterhaltung von Projekten und Communities zu beteiligen, die Open Source bereitstellen, ist keine Wahlmöglichkeit mehr. Es ist eine Notwendigkeit", schreibt er.

SOS.dev unter dem Alpha-Omega-Schirm

Neben der Finanzspritze für die Open-Source-Stiftungen hat die OpenSSF verkündet, dass das 2021 gegründete Programm Secure Open Source Rewards (SOS) nun unter dem Schirm des Alpha-Omega-Projekts steht. Das Programm zahlt Belohnungen für die Verbesserungen der Security von Open-Source-Projekten. Google hatte SOS im Herbst 2021 mit einer Million US-Dollar gefördert.

Weitere Details zu den Fördermaßnahmen für die Eclipse Foundation und die PSF sowie zu der neuen Verantwortung für Secure Open Source Rewards lassen sich dem OpenSSF-Blog entnehmen.

(rme)