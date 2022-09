Die Open Source Security Foundation (OpenSSF) fördert die Rust Foundation mit 460.000 US-Dollar. Die Finanzspritze fließt als Maßnahme des Alpha-Omega-Projekts in Security-Maßnahmen rund um die Programmiersprache Rust. Die Stiftung nutzt das Geld und die Unterstützung des jüngsten Mitglieds JFrog, um ein dediziertes Security-Team einzurichten.

Die 2020 gegründete Rust Foundation kümmert sich um die Weiterentwicklung und das Ökosystem der Programmiersprache. Das neu gegründete Team ist für Sicherheitsaspekte rund um Rust verantwortlich. Die Sprache gilt vor allem aufgrund ihrer Konzepte für Memory Safety als sicherer im Vergleich zu Alternativen wie C oder C++, ist in vielen Bereichen aber genauso angreifbar wie andere Programmiersprachen. Unter anderem sind die Methoden zum Absichern der Software Supply Chain weniger konsequent als bei Go.

Gezielte Maßnahmen

Das neue Team soll als erste Maßnahmen einen Security-Audit durchführen und Threat Modeling durchführen, um festzustellen, an welchen Stellen sich die Security am ökonomischsten verbessern lässt. Es soll sich zudem um Sicherheitspraktiken in der gesamten Rust-Landschaft, darunter dem Paketmanager Cargo und Crates.io kümmern.

Bei den Methoden zum Absichern der Software Supply Chain ist vor allem JFrog gefragt: Das auf die Softwarelieferkette spezialisierte Unternehmen ist seit Anfang September Platinmitglied der Rust Foundation. Teile des Security-Research-Teams von JFrog sollen im neu gegründeten Security-Team der Stiftung arbeiten.

OpenSSF: Förderung der Sicherheit von Open-Source-Projekten

Die Linux Foundation hat die OpenSSF 2020 ins Leben gerufen, um die Sicherheit von Open-Source-Software zu verbessern. Mit demselben Ziel trafen sich im Februar 2022 Vertreter von Technikfirmen, US-Behörden und Non-Profit-Organisationen im Weißen Haus. Daraus entstand schließlich das Alpha-Omega-Projekt, das vor allem die Security der Software Supply Chain im Blick hat.

Die erste Förderung im Rahmen der Alpha-Omega-Initiative erhielt die JavaScript-Laufzeitumgebung Node.js. Im Juni 2022 folgten mit der Python Software Foundation (PSF) und der Eclipse Foundation zwei weitere große Open-Source-Stiftungen.

Weitere Details zu der Gründung des Security-Teams lassen sich dem Blog der Rust Foundation entnehmen. Zusätzliche Informationen zu der neuen und den bestehenden Fördermaßnahmen der Open Source Security Foundation finden sich im OpenSSF-Blog.

(rme)