Linux Foundation und OpenSSF helfen, die Anforderungen des CRA umzusetzen
Die Linux Foundation Europe und die OpenSSF grĂĽnden neue Initiative, um gemeinsam Ressourcen fĂĽr die Umsetzung des CRA (Cyber Resilience Act) zu erarbeiten.
(Bild: Imilian/Shutterstock.com)
Die Linux Foundation Europe und OpenSSF, die Open Source Security Foundation, haben eine neue Initiative angekündigt, um unterschiedliche Stakeholder im Open-Source-Ökosystem bei der Umsetzung von Anforderungen des Cyber Resiliance Act (CRA) der Europäischen Union zu unterstützen. Gemeinsam mit Maintainern von Open-Source-Projekten, Anbietern von Open Source Software sowie Stiftungen und Initiativen sollen Security- und Compliance-Richtlinien erarbeitet und formalisiert werden.
Videos by heise
Der CRA ist im Dezember 2024 in Kraft getreten und soll die Cybersicherheit vernetzter Geräte in der Europäischen Union erhöhen. (Software-)Produkte, die dem CRA unterliegen, müssen verschiedene Anforderungen erfüllen, beispielsweise Security bereits im Designprozess berücksichtigen, Schwachstellen melden und Abhängigkeiten von Softwarepaketen im Rahmen von SBOMs (Software Bill of Materials) transparent machen. Die Anforderungen des CRA müssen bis Ende 2027 vollständig umgesetzt sein.
Stewards fĂĽr Open Source Software
Nicht kommerzielle Open Source Software ist von den Anforderungen des CRA prinzipiell ausgenommen. In einem früheren Entwurf des CRA war die Definition von "kommerzieller Aktivität" noch sehr breit angelegt. Organisationen wie die Linux Foundation Europe und die Open Source Business Alliance hatten davor gewarnt, dass der CRA in dieser Form die Entwicklung von Open-Projekten-Projekten gefährde.
c't Open Source Spotlight abonnieren
Innovative Software, spannende Projekte: Erweitern Sie Ihre Möglichkeiten und werden Sie Teil der Open Source Community.
E-Mail-Adresse
Ausführliche Informationen zum Versandverfahren und zu Ihren Widerrufsmöglichkeiten erhalten Sie in unserer Datenschutzerklärung.
In der beschlossenen Fassung des CRA kommt es darauf an, wie ein (Software-) Produkt auf den Markt kommt und nicht auf den Entwicklungsprozess. Dazu wurde das Konzept der "Open Source Stewards" eingeführt, die keine Softwarehersteller im herkömmlichen Sinn sind, aber Support leisten und Verantwortung für die Sicherheit von Open Source Software übernehmen.
Zusammenarbeit auch ĂĽber den CRA hinaus
Die neue Initiative der Linux Foundation Europe und der OpenSSF schlägt in diese Kerbe: Mirko Boehm, leitender Direktor für Community Development bei der Linux Foundation Europe, sagt: "Da Software weltweit immer stärker reguliert wird, fühlen wir uns als Steward der von einigen der wichtigsten Open-Source-Projekte der Welt dafür verantwortlich, Probleme für unsere Maintainer und Softwarehersteller zu verringern, die Upstream-Open-Source nutzen und diese Vorschriften einzuhalten müssen". Dabei geht es vorrangig um den CRA, man sei aber zuversichtlich, auch auf zukünftige Anforderungen und Gesetzesänderungen reagieren zu können.
Laut der Ankündigung beteiligen sich weitere Unternehmen wie ARM, Ericsson, GitHub, Kusari, die OpenJS-Foundation, Red Hat und die Rust Foundation an der Initiative. Die gemeinsame Arbeit wird in der "Global Cyber Policy Working Group" organisiert. Interessierte aus der Open Source Community können einen Blick in das zugehörige GitHub-Repository werfen oder sich an der Diskussion auf der Mailingliste oder im einem Kanal bei Slack beteiligen. (ndi)
