Verschärft wird die Herausforderung durch folgende Faktoren
• Die globale Software-Infrastruktur besteht zu über 80 Prozent aus Open Source. Der Software-Stack, der jedem Produkt mit digitalen Elementen zugrunde liegt, wird in der Regel mit Open-Source-Software erstellt. Wer also von der Software-Lieferkette spricht, bezieht sich zuerst auf Open Source, gleichwohl nicht ausschließlich.
• Normungsorganisationen haben in der Vergangenheit wenig mit Open-Source-Gemeinschaften und der breiteren Software-/IT-Branche zusammengearbeitet. Ihre Governance-Modelle bieten den Open-Source-Gemeinschaften derzeit keine Möglichkeiten zur Beteiligung.
• Open-Source-Gemeinschaften haben nur begrenzte Erfahrung im Umgang mit Normungsorganisationen. Zudem ist es für sie aufgrund ihrer begrenzten Ressourcen schwierig, sich einzubringen.
• Die Erarbeitung von Standards ist in der Regel ein langwieriger Prozess, und die Zeit drängt. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Unklar wie, aber es soll schnell gehen
Die neuen Cybersicherheitsstandards müssen zu den Anforderungen gängiger Open-Source-Entwicklungsprozesse und -Gemeinschaften passen. Unklar ist, wie das im vorgegebenen Zeitrahmen geschehen kann. Zumal die entstehenden Spezifikationen auch den Bedürfnissen der großen Softwareanbieter, vertikaler Branchen sowie kleiner und mittlerer Unternehmen entsprechen soll.
Praktiken zusammenführen
Trotz dieser Herausforderungen gibt es eine Grundlage für die Entwicklung. Open-Source-Gemeinschaften und -Stiftungen haben bereits sichere Softwareentwicklungsprozesse erarbeitet und angewendet. Das schließt koordinierte Offenlegung, Peer Reviews und Freigabeprozesse ein. Diese Methoden wurden von jeder Organisation dokumentiert, zum Teil mit unterschiedlicher Terminologie und verschiedenen Ansätzen. Die Eclipse Foundation geht davon aus, dass die technische Dokumentation dieser bestehenden Cybersicherheitsprozesse einen Ausgangspunkt für die Entwicklungen bieten kann, die für die Einhaltung der CRA-Vorschriften erforderlich sind.
Ziel ist Mitwirkung an der europäischen Normung
Ziel ist es, dass die erarbeiteten Spezifikationen in die formellen Normungsprozesse von mindestens einer der europäischen Normungsorganisationen einfließen können. In Anbetracht des engen Zeitrahmens für die Umsetzung der CRA stellt dieser schnelle Start ein konstruktives Umfeld für die technischen Diskussionen dar, die für die Stewards, Mitwirkenden und Anwender von Open Source notwendig sind, um die Anforderungen des CRA zu erfüllen.
Aufruf zur Zusammenarbeit
Die Eclipse Foundation ist offen für Interessenten, die an den Spezifikationen für eine sichere Open-Source-Entwicklung mitarbeiten möchten. Gemeinsam mit Open-Source-Organisationen, KMU, Großunternehmen und Forschungseinrichtungen sollen die Aufgaben angegangen werden, die sich durch den Cyber Resilience Act stellen. Die Eclipse Foundation hat angekündigt, Informationen zum Projekt über eine Mailingliste zu verteilen.