security

Der kürzliche versuchte Backdoor-Angriff auf XZ Utils (CVE-2024-3094) könnte kein Einzelfall sein, wie ein ähnlicher Übernahmeversuch der OpenJS Foundation zeigt. Sie rufen Open-Source-Maintainer dazu auf, wachsam zu sein und sich gegen Social Engineering-Übernahmeversuche zu schützen. Verdächtige Muster wie aggressive Anfragen von Unbekannten und undurchsichtige PRs sollten alarmieren. Empfohlene Sicherheitsmaßnahmen umfassen starke Authentifizierung, Sicherheitsrichtlinien und regelmäßige Überprüfungen von Maintainer-Zugriffen. Zudem wird eine verstärkte Unterstützung von Open-Source-Projekten durch öffentliche und private Organisationen wie die Linux Foundation und das Sovereign Tech Fund gefordert, um die Sicherheit und Stabilität der Open-Source-Infrastruktur zu gewährleisten. ...

Adriana Groh schreibt in »xz-Vorfall: Anzeichen einer strukturellen Herausforderung« für sovereigntechfund.de Grundlegende Komponenten werden von sehr vielen Unternehmen und Organisationen eingebaut und genutzt, ohne dass diese deren Pflege sicherstellen. Wir sehen hierin eine Aufgabe von öffentlichem Interesse, weswegen diese langfristig nicht alleine in der Verantwortung von Ehrenamtlichen und auch nicht alleine in der des privatwirtschaftlichen Sektors liegen sollte. Die Relevanz dieser Aufgabe muss in der Breite der Gesellschaft anerkannt und ihr die dementsprechende Priorität eingeräumt werden. ...

Matthew Hodgson schreibt in »Open Source Infrastructure must be a publicly funded service.« für matrix.org This funding should NOT be tied to specific feature development, but simply funding the core maintenance of the infrastructure - paying for the maintainers (and/or letting them or their umbrella org hire trusted ones!) to ensure the core project remains healthy and secure. Otherwise, the pressure just rises on the core project to chase feature development at the expense of maintenance (making maintenance harder) - or, worse, to be pushed away from open source into building proprietary solutions or crippling the open source by moving valuable features into side proprietary products. ...

Dr. Oliver Diedrich schreibt in »Gestohlener Azure-Master-Key: Microsofts Sicherheitsversagen ist jetzt amtlich« für heise.de Das Cyber Safety Review Board der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) hat seinen Bericht zu dem Diebstahl eines Master-Key für Azure im Sommer letzten Jahres veröffentlicht. Und der hat es in sich: Die US-Regierungsbehörde für Cybersecurity wirft Microsoft vielfaches Versagen bei der Cybersicherheit vor und empfiehlt, die Entwicklung neuer Features für die Cloud zurückzustellen, bis substanzielle Sicherheitsverbesserungen gemacht sind. ...

tagesschau.de schreibt in »Digitalisierung: Bund lässt sichere Cloud von Ionos aufbauen« Die “private Enterprise-Cloud”, die unter anderem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wurde, soll in den Rechenzentren des Informationstechnikzentrums Bund (ITZBund) betrieben werden. Das Besondere an der Ionos-Lösung ist, dass diese Plattform nicht mit dem öffentlichen Internet verbunden ist. Dabei wird ein Konzept verwendet, das als “Air Gapping” bekannt ist. Das soll es für Außenstehende nahezu unmöglich machen, auf sensible Informationen zuzugreifen. ...