Seth Michael Larson: Open-Source-Sicherheitsarbeit ist nicht „besonders“

Die Hauptrede wurde auf dem OpenSSF Community Day NA 2025 in Denver, Colorado, gehalten und wird später als YouTube-Videoaufzeichnung verfügbar sein. Die Rede wurde als Sicherheits-Entwickler-in-Residence bei der Python Software Foundation gehalten, eine Rolle, die von Alpha-Omega gesponsert wird. Open Source ist etwas Erstaunliches, das es Benutzern ermöglicht, bedeutende Beiträge zu Projekten zu leisten, aber Sicherheit ist etwas Besonderes und wird oft von einer kleinen Gruppe von Experten gehandhabt. Die Betreuer von Open-Source-Projekten, insbesondere kleineren, sind nicht notwendigerweise Sicherheitsexperten und fühlen sich isoliert und gezwungen, Sicherheitsarbeiten durchzuführen, um ihr Projekt und ihre Benutzer sicher zu halten. Diese Isolation fördert eine Kultur der Angst, und die Betreuer sehen oft nicht, wie andere Projekte Sicherheitsprobleme lösen. Kleine Projekte werden von ihren Werkzeugen geprägt, und Sicherheitswerkzeuge schaffen oft eine Asymmetrie, indem sie Arbeit erzeugen, ohne Probleme zu lösen. Der Sprecher schlägt ein neues Modell für Open-Source-Sicherheitsbeiträge vor, bei dem Sicherheitsarbeiten von vertrauenswürdigen Personen durchgeführt werden, die nicht notwendigerweise Betreuer sind. Dieses Modell zielt darauf ab, die Annahme zu brechen, dass nur Betreuer Sicherheitsarbeiten durchführen können, insbesondere für kleinere Projekte. Um dieses Modell erfolgreich zu machen, müssen wir Vertrauen zwischen Beitragenden und Projekten aufbauen, und Sicherheitsarbeiten können nicht allein auf den Schultern der Betreuer lasten. Wir können alle unsere Stimmen und Erfahrungen nutzen, um eine positivere und gesündere Sicherheitskultur zu schaffen und die Isolation zu überwinden, die inhärent zu Sicherheitsarbeiten ist.