Die künftigen Sicherheitsprozesse für den Cyber Resilience Act wollen drei Organisationen aus der Open-Source-Gemeinschaft gemeinsam entwickeln. Ausgangspunkt für den kommenden Standard sind bestehende Sicherheitsrichtlinien und – verfahren sowie Best Practices.
Teamwork: Die Apache Software Foundation, die Blender Foundation, die OpenSSL Software Foundation, die PHP Foundation, die Python Software Foundation, die Rust Foundation und die Eclipse Foundation kooperieren beim Erstellen gemeinsamer Spezifikationen für die sichere Softwareentwicklung auf der Grundlage bewährter Open-Source-Prozesse.
Im Bestreben, den Herausforderungen der Cybersicherheit im Open-Source-Ökosystem zu begegnen und den Cyber Resilience Act der Europäischen Union zu unterstützen, haben die Organisationen eine Initiative zur Erstellung gemeinsamer Spezifikationen für die sichere Softwareentwicklung angekündigt.
Liberales Copyright und gebührenfreie Patentlizenz
Diese gemeinsame Anstrengung wird bei der in Brüssel ansässigen Eclipse Foundation AISBL und des Eclipse Foundation Specification Process in Form einer Arbeitsgruppe umgesetzt. Als Europas größte Open-Source-Stiftung, die einen robusten, offenen Spezifikationsprozess entwickelt und anwendet, bietet die Eclipse Foundation eine ideale Plattform für dieses Projekt. Andere Open Source Foundations sowie Mittelstandsbetriebe, Industrieunternehmen und Forschungseinrichtungen sind eingeladen, sich ebenfalls zu beteiligen.
Ausgangspunkt für den Standard sind die bereits bestehenden Sicherheitsrichtlinien und -verfahren der jeweiligen Open-Source-Stiftungen sowie Dokumente, in denen Best Practices beschrieben werden. Die Leitung der Arbeitsgruppe folgt dem mitgliedergeführten Modell der Eclipse Foundation, wird aber durch eine erweiterte Vertretung der Open-Source-Gemeinschaft ergänzt, um Vielfalt und Ausgewogenheit bei der Entscheidungsfindung zu gewährleisten. Die Ergebnisse bestehen aus einer oder mehreren Prozessspezifikationen, die unter einer liberalen Copyright-Lizenz für Spezifikationen und einer gebührenfreien Patentlizenz zur Verfügung gestellt werden.
Abstimmung und Dokumentation waren bisher dünn
Der Grund für diese Zusammenarbeit geht über das Einhalten von Vorschriften hinaus. Open-Source-Software, spielt in unserer Gesellschaft eine immer wichtigere Rolle, und der Bedarf an Zuverlässigkeit, Sicherheit und Schutz nimmt stetig zu. Vorschriften, wie beispielsweise der bevorstehende Cyber Resilience Act unterstreichen die Dringlichkeit von ‚Secure by Design‘ und robusten Sicherheitsstandards für die Lieferkette und zwar lange vor Inkrafttreten der neuen Verordnung im Jahr 2027.
Open-Source-Gemeinschaften und -Stiftungen halten sich zumeist an die branchenüblichen Best Practices im Sicherheitsbereich und haben diese auch in der Vergangenheit umgesetzt. Diesen Ansätzen fehlt es allerdings häufig an Abstimmung und umfassender Dokumentation. Nun stehen sie vor einer gemeinsamen Herausforderung: der dringende Bedarf an Standards für den Cybersicherheitsprozess, der durch den Cyber Resilience Act geschaffen wurde.
Open-Source-Steward als neuer Wirtschaftsakteur
Die Sicherheitsrichtlinie der EU zieht zahlreiche Standardisierungsanforderungen an die Europäischen Standardisierungsorganisationen nach sich. Betroffen sind nicht nur die europäischen Anforderungen. Auch aus den USA und anderen Regionen sind ähnliche Regulierungen zu erwarten. Der Cyber Resilience Act definiert eine neue Art von Wirtschaftsakteur: den Open Source Steward. Auch in diesem Zusammenhang möchten die Open Source Foundations gemeinsame Spezifikationen für eine sichere Softwareentwicklung definieren.
Folgende Faktoren verschärfen diese Herausforderungen:
• Die heutige globale Software-Infrastruktur besteht zu über 80 Prozent aus Open Source. Der Software-Stack, der jedem Produkt mit digitalen Elementen zugrunde liegt, wird üblicherweise mit Open-Source-Software erstellt. Sobald wir also von der „Software-Lieferkette“ sprechen, beziehen wir uns in erster Linie, aber nicht ausschließlich, auf Open Source.
• Traditionelle Normungsorganisationen haben in der Vergangenheit wenig mit Open-Source-Gemeinschaften und der Software-/IT-Branche zusammengearbeitet. Erschwerend kommt hinzu, dass ihre Governance-Modelle den Open-Source-Gemeinschaften derzeit keine Möglichkeiten zur Beteiligung bieten.
• Open-Source-Gemeinschaften haben nur begrenzte Erfahrung im Umgang mit traditionellen Normungsorganisationen. Zudem ist es für sie aufgrund ihrer begrenzten Ressourcen schwierig, sich einzubringen.
• Die Erarbeitung von Standards ist in der Regel ein langwieriger Prozess, und die Zeit drängt.
Die neuen Cybersicherheitsstandards müssen zwar unter Berücksichtigung der Anforderungen von Open-Source-Entwicklungsprozessen und -Gemeinschaften entwickelt werden, aber es gibt keinen klaren Weg, wie dies in der Kürze der Zeit geschehen kann. Ebenso wichtig ist es, dass diese Standards so entwickelt werden, dass sie auch die Bedürfnisse der proprietären Softwareentwicklung großer Unternehmen, vertikaler Branchen sowie kleiner und mittlerer Unternehmen berücksichtigen.
Anzeige
Clever digitalisieren – Mit Bordmitteln mehr erreichen
Unter dem Motto „Clever digitalisieren – mit Bordmitteln mehr erreichen!“ bietet die Trovarit bewährte Services und Werkzeuge (IT-Matchmaker®), mit denen Unternehmen
- den Einsatz ihrer vorhandenen Software-Landschaft effizient überprüfen,
- Optimierungspotenziale entdecken,
- eine verlässliche IT-Roadmap erstellen können,
um ihre Prozesse nachhaltig zu optimieren, ohne große Summen zu investieren.
Clever digitalisieren: Jetzt mehr erfahrenBest-Practices für Software-Entwicklung ausbauen
Trotz dieser Herausforderungen gibt es eine gute Grundlage für die Entwicklung: Führende Open-Source-Gemeinschaften und -Stiftungen haben seit Jahren sichere Softwareentwicklungsprozesse erarbeitet und angewendet. Dabei handelt es sich um Best Practices der Branche in Bezug auf Vorgehensweisen wie koordinierte Offenlegung, Peer Reviews und Freigabeprozesse. Diese Vorgehensweisen wurden von jeder dieser Organisationen dokumentiert, wenn auch manchmal unter Verwendung unterschiedlicher Terminologie und Ansätze. Die Eclipse Foundation geht davon aus, dass die technische Dokumentation dieser bestehenden Cybersicherheitsprozesse einen Ausgangspunkt für die Entwicklungen bieten kann, die für das Einhalten der Vorschriften des Cyber Resilience Act erforderlich sind.
Ziel ist es, dass die erarbeiteten Spezifikationen in die formellen Normungsprozesse von mindestens einer der europäischen Normungsorganisationen einfließen können. In Anbetracht des engen Zeitrahmens für das Umsetzen der Sicherheitsrichtlinie, stellt dieser schnelle Start ein konstruktives Umfeld für die technischen Diskussionen dar, die für die Stewards, Mitwirkenden und Anwender von Open Source notwendig sind, um die gesetzlichen Anforderungen zu erfüllen. jf
Der Autor
Mike Milinkovich ist Executive Director der Eclipse Foundation.
