Das Video »Das Internet stand nur Wochen vor einer Katastrophe und niemand wusste davon« von Veritasium auf YouTube liefert eine fundierte und zugleich verständliche Einordnung des Sicherheitsvorfalls rund um XZ-Utils. Es zeigt, wie komplex der Angriff aufgebaut war, und erklärt zugleich die Grundlagen von Verschlüsselung und Datenkomprimierung. Die Inhalte werden klar und niedrigschwellig vermittelt.
Erneut wird auf die Unterfinanzierung von Open-Source-Projekten hingewiesen, besonders bei kleinen Softwarebibliotheken. Sie lassen sich kaum monetarisieren, dennoch verlassen sich viele Unternehmen auf sie. Diesmal richtet sich die Kritik an Google. Der Konzern könnte zwar mehr beitragen, unterstützt die Projekte aber seit vielen Jahren mit Arbeitsleistungen und finanziellen Mitteln. Steven J. Vaughan-Nichols schreibt in »FFmpeg to Google: Fund Us or Stop Sending Bugs« für thenewstack.io ...
Das Bundesamt für Sicherheit schreibt in »SBOM: Internationale Behörden veröffentlichen gemeinsames Zielbild« auf bsi.bund.de Mit dem Cyber Resilience Act (CRA) werden SBOMs als eine Grundlage für die Behandlung von Schwachstellen in Produkten mit digitalen Elementen auf dem europäischen Markt verpflichtend vorgeschrieben. Um den Umgang mit SBOMs bereits heute einfacher zu gestalten, hat das BSI die Technische Richtlinie TR-03183-2 mit formellen und fachlichen Vorgaben zu SBOM als Handreichung veröffentlicht. In der TR-03183-2 werden zum Beispiel notwendige Datenfelder, der Umfang und die möglichen Formate definiert. ...
Maika Möbus schreibt in »Cyber Resilience Act: Initiative der Eclipse Foundation hilft bei Compliance« für heise.de Die Eclipse Foundation hat den Start des OCCTET-Projekts bekannt gegeben: Hinter dem Namen “Open Source Compliance: Comprehensive Techniques and Essential Tools” verbirgt sich eine von der Europäischen Kommission finanzierte Initiative zum Thema Cyber Resilience Act (CRA). Sie bringt ein Konsortium aus Industriegrößen, Cybersecurity-Experten und Open-Source-Vertretern zusammen – mit dem Ziel, kleinen und mittleren Unternehmen (KMU) sowie Entwicklerinnen und Entwicklern die Compliance ihrer Open-Source-Software (OSS) mit dem CRA zu vereinfachen. Dazu stellt sie ein Toolkit an Ressourcen zur Verfügung. ...
Ellen Nakashima, Yvonne Wingett Sanchez und Joseph Menn schreiben in »Global hack on Microsoft product hits U.S., state agencies, researchers say« für washingtonpost.com What’s also alarming, researchers said, is that the hackers have gained access to keys that may allow them to regain entry even after a system is patched. Mal wieder wurde eine Sicherheitslücke in Microsofts Software ausgenutzt. Und natürlich gilt: Kein System ist völlig sicher. Aber wenn fast alle dieselbe Software verwenden, wird aus einem Fehler ein flächendeckendes Risiko. Genau das ist bei Microsoft Office, Sharepoint oder Windows der Fall. ...