Open-Source-Projekte sind heutzutage nicht mehr wegzudenken. Sie sind das R\u00fcckgrat unserer digitalen Welt und erm\u00f6glichen es Entwicklern und Organisationen, Software zu verbessern und Innovationen voranzutreiben. Doch wie bei allem im Leben, birgt auch die Offenheit von Open Source gewisse Risiken. Die Open Source Security Foundation (OpenSSF) und die OpenJS Foundation haben uns k\u00fcrzlich darauf aufmerksam gemacht.<\/p>\n
In einer gemeinsamen Mitteilung haben die beiden Organisationen vor den Gefahren von Social Engineering-Angriffen auf Open-Source-Projekte gewarnt. Als Beispiel wurde der Versuch genannt, eine Backdoor in das XZ Utils-Projekt einzuschleusen (CVE-2024-3094). Dieser Vorfall k\u00f6nnte jedoch nur die Spitze des Eisbergs sein. Die OpenJS Foundation berichtete von einem \u00e4hnlichen, aber gl\u00fccklicherweise vereitelten \u00dcbernahmeversuch.<\/p>\n
Die OpenJS Foundation ist eine Plattform f\u00fcr JavaScript-Projekte, die von Milliarden von Websites weltweit genutzt werden. In diesem Zusammenhang erhielt die Foundation auff\u00e4llige E-Mails, die verschiedene Namen trugen, aber thematisch mit E-Mails \u00fcber GitHub zusammenhingen. Diese E-Mails forderten die OpenJS Foundation dazu auf, Ma\u00dfnahmen zu ergreifen, um eines ihrer popul\u00e4ren JavaScript-Projekte zu aktualisieren und kritische Sicherheitsl\u00fccken zu beheben. Die Absender der E-Mails \u00e4u\u00dferten den Wunsch, als neue Projektverantwortliche benannt zu werden, obwohl sie zuvor nur geringf\u00fcgig involviert waren.<\/p>\n
Dieser Ansatz \u00e4hnelt stark dem Vorgehen von Jia Tan, der es geschafft hatte, sich als Maintainer f\u00fcr XZ Utils einzuschleichen und dort eine Backdoor zu platzieren. Wie genau Jia Tan das geschafft hat, ist noch unklar. Aber es zeigt deutlich, dass solche Angriffe auf Open-Source-Projekte eine reale Bedrohung darstellen.<\/p>\n
Um das Bewusstsein f\u00fcr diese anhaltenden Bedrohungen bei allen Open-Source-Maintainern zu sch\u00e4rfen, haben sich die OpenSSF, die OpenJS Foundation und die Linux Foundation zusammengeschlossen. Gemeinsam wollen sie praktische Anleitungen und Ressourcen aus der gro\u00dfen Gemeinschaft von Sicherheits- und Open-Source-Experten zur Verf\u00fcgung stellen. Diese sollen helfen, verd\u00e4chtige Handlungen zu erkennen und angemessen darauf zu reagieren.<\/p>\n
Die Mitteilung nennt auch einige Indizien f\u00fcr verd\u00e4chtige Handlungen, auf die man achten sollte. Dazu geh\u00f6ren ungew\u00f6hnliche oder unerwartete Anfragen, insbesondere in Bezug auf Sicherheitsl\u00fccken oder Zugriffsrechte. Auch das pl\u00f6tzliche Auftauchen neuer Akteure, die eine \u00fcberm\u00e4\u00dfige Kontrolle \u00fcber ein Projekt fordern, sollte als Warnsignal betrachtet werden. Es ist wichtig, solche Hinweise ernst zu nehmen und gegebenenfalls genauere \u00dcberpr\u00fcfungen durchzuf\u00fchren, um m\u00f6gliche Angriffe zu erkennen und zu verhindern.<\/p>\n
Die Open Source Community ist ein Ort des gemeinsamen Engagements und der Zusammenarbeit. Doch wie dieser Vorfall zeigt, m\u00fcssen wir auch hier vorsichtig sein. Indem wir uns bewusst sind, dass solche Angriffe existieren k\u00f6nnen, und indem wir die n\u00f6tigen Schritte unternehmen, um unsere Projekte zu sch\u00fctzen, k\u00f6nnen wir weiterhin von den vielen Vorteilen von Open Source profitieren. Die OpenSSF, die OpenJS Foundation und die Linux Foundation leisten dabei wichtige Arbeit, indem sie uns dabei unterst\u00fctzen, unsere Projekte sicher zu halten und die Integrit\u00e4t der Open-Source-Community zu wahren.<\/p>\n
Schlagw\u00f6rter: OpenJS + OpenSSF + Jia Tan<\/p>\n","protected":false},"excerpt":{"rendered":"
Open-Source-Projekte sind heutzutage nicht mehr wegzudenken. Sie sind das R\u00fcckgrat unserer digitalen Welt und erm\u00f6glichen es Entwicklern und Organisationen, Software zu verbessern und Innovationen voranzutreiben. Doch wie bei allem im Leben, birgt auch die Offenheit von Open Source gewisse Risiken. Die Open Source Security Foundation (OpenSSF) und die OpenJS Foundation...<\/p>\n","protected":false},"author":4,"featured_media":6616,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-6617","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/6617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6617"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/6617\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/6616"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}