Um die Cybersicherheit in Open-Source-Systemen zu erhöhen und ihre Unterstützung des Cyber Resilience Act (CRA) der Europäischen Union zu demonstrieren, haben eine Reihe von Organisationen eine gemeinsame Initiative angekündigt. Gemeinsam wollen sie eine Spezifikation für die sichere Softwareentwicklung erstellen. Daran beteiligen sich Apache Software Foundation, die Blender Foundation, die Eclipse Foundation, die OpenSSL Software Foundation, die PHP Foundation, die Python Software Foundation und die Rust Foundation.
Eclipse Foundation lädt zur Mitarbeit ein
Das Projekt ist bei der in Brüssel ansässigen Eclipse Foundation AISBL und des Eclipse Foundation Specification Process beheimatet und wird in einer neuen Arbeitsgruppe umgesetzt. Die Eclipse Foundation lädt in ihrer Pressemitteilung andere Open Source-Initiativen sowie KMU, Industrieunternehmen und Forschungseinrichtungen ein, sich ebenfalls am Projekt zu beteiligen.
Auf bewährter Praxis aufbauen
Ausgangspunkt der Arbeit sind die bereits bestehenden Sicherheitsrichtlinien und -verfahren der Open-Source-Stiftungen und ähnliche Dokumente, in denen Best Practices beschrieben werden. Die Leitung der Arbeitsgruppe folgt dem mitgliedergeführten Modell der Eclipse Foundation, wird aber durch eine erweiterte Vertretung der Open-Source-Gemeinschaft ergänzt, um für Vielfalt und Ausgewogenheit bei der Entscheidungsfindung zu sorgen. Die Ergebnisse sollen als Prozessspezifikationen veröffentlicht werden, die unter einer liberalen Copyright-Lizenz für Spezifikationen und einer gebührenfreien Patentlizenz zur Verfügung gestellt werden. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Konformität zum Cyber Resilience Act ist kritisch
Neue Vorschriften wie der bevorstehende Cyber Resilience Act der Europäischen Union unterstreichen die Dringlichkeit von Secure by Design und robusten Sicherheitsstandards für die Lieferkette, schreibt die Eclipse Foundation in der Pressemitteilung zum Projektbeginn. Doch geht der Grund für die Zusammenarbeit über die Einhaltung von Vorschriften hinaus. Vielmehr spielt Software, insbesondere Open-Source-Software, in der Gesellschaft eine wichtigere Rolle und der Bedarf an Zuverlässigkeit, Sicherheit und Schutz nimmt zu, heißt es weiter darin.
Open-Source-Gemeinschaften und -Stiftungen binden sich zwar bereits an branchenübliche Best Practices im Sicherheitsbereich, doch fehlt es den Ansätzen häufig an Abstimmung und Dokumentation. Der europäische CRA setzt die Stiftungen nun unter Zugzwang, hier nachzubessern.
Open-Source-Sicherheitsstandards sind schwierig zu entwickeln
Der CRA zieht zahlreiche Standardisierungsanforderungen der Europäischen Kommission an die Europäischen Standardisierungsorganisationen nach sich. Zu den europäischen Anforderungen dürften ähnliche aus den USA und anderen Regionen hinzukommen. Der CRA definiert eine neue Art von Wirtschaftsakteur: den Open Source Steward. Auch in diesem Zusammenhang möchten die Open Source Foundations gemeinsame Spezifikationen für eine sichere Softwareentwicklung definieren.
