Sieben Open-Source-Stiftungen kommen zusammen, um gemeinsame Spezifikationen und Standards für den vom Europäischen Parlament verabschiedeten europäischen Cyber Resilience Act (CRA) zu erstellen Im vergangenen Monat.
Der Apache Software Foundation, Blender Foundation, Eclipse Foundation, OpenSSL Software FoundationPHP Foundation, Python Software FoundationUnd Rust Foundation enthüllte ihre Absichten zu bündeln ihre kollektiven Ressourcen und verbinden die Punkte zwischen bestehenden Sicherheits-Best Practices in der Open-Source-Softwareentwicklung – und stellen sicher, dass die vielgeschmähte Software-Lieferkette der Aufgabe gewachsen ist, wenn die neue Gesetzgebung in drei Jahren in Kraft tritt.
Komponenten
Das wird geschätzt zwischen 70 % und 90 % Die heutige Software besteht aus Open-Source-Komponenten, von denen viele von Programmierern in ihrer Freizeit und auf eigene Kosten kostenlos entwickelt werden.
Der Cyber Resilience Act wurde erstmals vor fast zwei Jahren in Entwurfsform vorgelegt, mit dem Ziel, die besten Cybersicherheitspraktiken für in der gesamten Europäischen Union verkaufte Hardware- und Softwareprodukte zu kodifizieren. Es soll alle Hersteller aller mit dem Internet verbundenen Produkte dazu zwingen, mit den neuesten Patches und Sicherheitsupdates auf dem neuesten Stand zu bleiben, wobei bei Mängeln Strafen vorgesehen sind.
Zu diesen Strafen bei Verstößen zählen Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Umsatzes.
Das Gesetz löste in seiner ursprünglichen Form heftige Kritik seitens zahlreicher Drittparteien aus, darunter mehr als ein Dutzend Verbände der Open-Source-Branche, die letztes Jahr einen offenen Brief schrieben, in dem es hieß, das Gesetz könne eine „abschreckende Wirkung“ auf die Softwareentwicklung haben. Der Kern der Beschwerden konzentrierte sich darauf, dass „Upstream“-Open-Source-Entwickler für Sicherheitsmängel in Downstream-Produkten haftbar gemacht werden könnten, wodurch freiwillige Projektbetreuer aus Angst vor rechtlicher Vergeltung davon abgehalten werden, an kritischen Komponenten zu arbeiten (dies ähnelt den Bedenken, die es rund um den Globus gab). EU-KI-Gesetz, das letzten Monat grünes Licht gegeben hat).
Der Wortlaut der CRA-Verordnung bot einige Schutzmaßnahmen für den Open-Source-Bereich, da Entwickler, die nicht an der Kommerzialisierung ihrer Arbeit interessiert waren, technisch davon ausgenommen waren. Die Formulierung lässt jedoch Interpretationsspielraum hinsichtlich der Frage, was genau unter die Bezeichnung „kommerzielle Tätigkeit“ fällt – zählen beispielsweise Sponsoring, Zuschüsse und andere Formen finanzieller Unterstützung?
Schließlich wurden einige Änderungen am Text vorgenommen und die Gesetzgebung überarbeitet ging inhaltlich auf die Bedenken ein durch Klärung der Ausschlüsse von Open-Source-Projekten.
Obwohl die neue Verordnung bereits abgesegnet ist, wird sie erst 2027 in Kraft treten, was allen Parteien Zeit gibt, die Anforderungen zu erfüllen und einige Feinheiten dessen zu klären, was von ihnen erwartet wird. Und dafür kommen die sieben Open-Source-Stiftungen jetzt zusammen.
Dokumentation
Die Art und Weise, wie sich viele Open-Source-Projekte entwickeln, hat dazu geführt, dass sie oft über eine lückenhafte Dokumentation (wenn überhaupt) verfügen, was die Unterstützung von Audits erschwert und es nachgelagerten Herstellern und Entwicklern erschwert, ihre eigenen CRA-Prozesse zu entwickeln.
Viele der besser ausgestatteten Open-Source-Initiativen verfügen bereits über angemessene Best-Practice-Standards, die sich auf Dinge beziehen wie koordinierte Offenlegung von Schwachstellen Und Peer-Review, aber jede Entität verwendet möglicherweise unterschiedliche Methoden und Terminologien. Durch den Zusammenschluss sollte dies dazu beitragen, die Entwicklung von Open-Source-Software als eine einzige „Sache“ zu behandeln, die denselben Standards und Prozessen unterliegt.
Wenn man noch andere vorgeschlagene Regulierungen hinzufügt, darunter den Securing Open Source Software Act in den USA, ist klar, dass die verschiedenen Stiftungen und „Open Source Stewards“ hinsichtlich ihrer Rolle in der Software-Lieferkette einer genaueren Prüfung unterzogen werden.
„Während sich Open-Source-Communities und Stiftungen im Allgemeinen an branchenweit etablierte Best Practices im Bereich Sicherheit halten und diese anwenden, mangelt es ihren Ansätzen oft an Abstimmung und umfassender Dokumentation“, so die Eclipse Foundation schrieb heute in einem Blogbeitrag. „Die Open-Source-Community und die Softwarebranche im Allgemeinen stehen jetzt vor einer gemeinsamen Herausforderung: Die Gesetzgebung hat einen dringenden Bedarf an Prozessstandards für Cybersicherheit geschaffen.“
Die neue Zusammenarbeit, die zunächst aus sieben Stiftungen besteht, wird in Brüssel von der Eclipse Foundation geleitet, in der sich befindet Hunderte einzelner Open-Source-Projekte Es umfasst Entwicklertools, Frameworks, Spezifikationen und mehr. Zu den Mitgliedern der Stiftung zählen Huawei, IBM, Microsoft, Red Hat und Oracle.