Zurück zum Blog

Folgen und abonnieren

Wie lassen sich Hacks wie xz konkret eindämmen?

Anil Dash

VP Developer Experience, Fastly

Diese Woche geriet das gesamte Ökosystem der Softwareentwicklung in Aufruhr, als ein Hack entdeckt wurde, der nicht nur hinsichtlich seiner Reichweite und Ausgeklügeltheit verblüfft, sondern der auch beispiellos einfach ist. Die zentrale Schwachstelle, die dabei ausgenutzt wurde, ist das menschliche Handeln derjenigen, die eine bekannte Open-Source-Bibliothek verwalten. Administratoren sind die wichtigste und gleichzeitig am schwierigsten ersetzbare Ressource in der Open-Source-Community.

Es wird sicherlich noch lange dauern, bis eine vollständige und eindeutige Diagnose all der Dinge vorliegt, die schief gelaufen sind oder die als Voraussetzung dafür galten, dass eine so weitreichende und schwerwiegende Schwachstelle überhaupt entstehen konnte. Was wir allerdings jetzt schon wissen ist, dass diese Situation im Wesentlichen darauf zurückzuführen ist, dass eine überaus wichtige Bibliothek von einem unterbesetzten Team verwaltet wurde, das mit einer viel zu langen Liste an Zuständigkeiten betraut war. Und wir wissen, dass dem so ist, weil sich dieses Problem über große Teile von Open Source erstreckt.

Daran müssen wir dringend arbeiten. Solange wir diese Fehlstellung nicht beheben, helfen uns alle technischen und prozessbezogenen Lösungen der Welt nicht weiter. Wir bei Fastly gehören (noch) nicht zu den Billionen-Dollar-Titanen der Branche, die höchstwahrscheinlich mit besseren und ehrgeizigeren Ansätzen aufwarten können, um das Problem ein für alle Mal zu lösen. Dennoch müssen wir alle das Unsrige beitragen, und Fastly führt genau an, was wir tun werden, um das Risiko dieser Art von Angriffen und Schwachstellen zu begrenzen.

Beweis dafür, dass wir uns dieser Aufgabe auch wirklich verschreiben, ist die Tatsache, dass wir das ohnehin bereits seit Jahren tun.

Hilfestellung, wo sie benötigt wird

Wir tauschen uns mit vielen Administratoren von Open-Source-Projekten aus, darunter etliche, die Verantwortung für einige der erfolgreichsten Open-Source-Projekte aller Zeiten tragen. Und ganz gleich, in welcher Sprache sie kodieren, in welchem Land sie leben, welcher Community sie dienen, zu welchem Teil des Stacks sie beitragen, sie alle bringen immer wieder die gleichen Kernaussagen vor:

  • Die Verwaltung bedeutender Open-Source-Projekte geht mit enorm hohen psychischen und personellen Kosten einher.

  • Die meisten Administratoren haben sich bewusst gegen die Arbeit für einen der Tech-Giganten und das damit einhergehende Gehalt und für Open Source entschieden.

  • Die negativen Kommentare, undankbare Geisteshaltung und ungeplanten langen Nächte rund um Open Source sorgen für Erschöpfung unter den Beitragenden. Ermüdung ist nie auf eine gültige Fehlermeldung oder einen aufrichtigen Fehler seitens eines wohlmeinenden Beitragenden zurückzuführen.

  • Freundliche Worte und gelegentliche Projektunterstützung durch die Community werden zwar geschätzt und als wichtig erachtet, machen aber die tägliche Plackerei um die lange Liste an undankbaren Aufgaben nicht wett.

Deshalb haben wir uns überlegt, wie wir unsere Fähigkeiten und unsere Fastly Plattform nutzen können, um das Leben derjenigen nachhaltig zu verbessern, die Open Source und damit das offene Internet möglich machen. Lassen Sie mich das wiederholen, weil es so wichtig ist: Es geht darum, die Menschen zu unterstützen, die Open Source ermöglichen. Wenn wir das schaffen, ist alles machbar.

Das Ganze klingt ja wirklich schön, was aber bedeutet es konkret? Fast Forward, das Open-Source-Programm von Fastly, baut auf den folgenden simplen Prinzipien auf:

  • Am allerwichtigsten: sich engagieren. Wir bemühen uns, uns mit Open-Source-Administratoren auszutauschen, mit ihnen in Verbindung zu treten und eine Gemeinschaft mit ihnen zu bilden. Wir bauen offene Kommunikationskanäle und (transaktionsfreie) Beziehungen auf, auf die wir uns in schwierigen Zeiten alle verlassen können.

  • Impulse geben. Wir tragen aktiv mit unserer Zeit und von uns geschriebenem Code zu den Projekten bei, auf die wir angewiesen sind und die wir fördern. Wir setzen uns dafür ein, dass alle in unserer Organisation wissen, dass sie sich in den von ihnen frequentierten Open-Source-Communities nicht nur verantwortungsvoll verhalten dürfen, sondern es sogar sollen.

  • Und nicht zu vergessen: Open Source strukturell und nachhaltig durch wirtschaftliche Verpflichtungen unterstützen. Die Idee, dass ein Budget die zugrunde liegenden Werte informiert, greift auch hier. Bei Fastly beläuft sich das – wohlgemerkt öffentlich zugesicherte – Budget für die direkte Plattformunterstützung von Open-Source-Projekten auf 50 Millionen US-Dollar. Tendenz steigend.

Und wie genau sieht das Ganze in der Praxis aus? Hören wir uns an, was Hannah Aubry, Leiterin des Fast Forward Programms, in ihrer Ansprache auf der kürzlichen Rust Nation Konferenz gesagt hat.

Wie es Joel Marcey von der Rust Foundation so schön zusammengefasst hat: „Es sind Partnerschaften wie diese [mit Fastly], die zum Wachstum und zur Zukunftsfähigkeit von Rust beitragen werden.“ Wir möchten, dass jedes Open-Source-Projekt ein derartiges Maß an Unterstützung und Stabilität erfährt.

Nächste Schritte

All diese Maßnahmen sind natürlich erst der Anfang. Wir alle müssen viel größere Anstrengungen unternehmen, um das Open-Source-Ökosystem – und insbesondere die Menschen dahinter – nachhaltig zu unterstützen. Künftig wird es noch viel mehr zu besprechen geben, aber für heute nur so viel: Wenn Sie ein Open-Source-Projekt verwalten und sich Sorgen um die Skalierung der Bereitstellung oder Sicherheit Ihrer Infrastruktur machen, setzen Sie sich mit uns in Kontakt! Gemeinsam können wir erarbeiten, ob und wie eine Teilnahme an unserem Fast Forward Programm Ihnen helfen kann.