Um die Cybersicherheit in Open-Source-Systemen zu erhöhen und ihre Unterstützung des Cyber Resilience Act (CRA) der Europäischen Union zu demonstrieren, haben eine Reihe von Organisationen eine gemeinsame Initiative angekündigt. Gemeinsam wollen sie eine Spezifikation für die sichere Softwareentwicklung erstellen. Daran beteiligen sich Apache Software Foundation, die Blender Foundation, die Eclipse Foundation, die OpenSSL Software Foundation, die PHP Foundation, die Python Software Foundation und die Rust Foundation.
Eclipse Foundation lädt zur Mitarbeit ein
Das Projekt ist bei der in Brüssel ansässigen Eclipse Foundation AISBL und des Eclipse Foundation Specification Process beheimatet und wird in einer neuen Arbeitsgruppe umgesetzt. Die Eclipse Foundation lädt in ihrer Pressemitteilung andere Open Source-Initiativen sowie KMU, Industrieunternehmen und Forschungseinrichtungen ein, sich ebenfalls am Projekt zu beteiligen.
Auf bewährter Praxis aufbauen
Ausgangspunkt der Arbeit sind die bereits bestehenden Sicherheitsrichtlinien und -verfahren der Open-Source-Stiftungen und ähnliche Dokumente, in denen Best Practices beschrieben werden. Die Leitung der Arbeitsgruppe folgt dem mitgliedergeführten Modell der Eclipse Foundation, wird aber durch eine erweiterte Vertretung der Open-Source-Gemeinschaft ergänzt, um für Vielfalt und Ausgewogenheit bei der Entscheidungsfindung zu sorgen. Die Ergebnisse sollen als Prozessspezifikationen veröffentlicht werden, die unter einer liberalen Copyright-Lizenz für Spezifikationen und einer gebührenfreien Patentlizenz zur Verfügung gestellt werden.
Konformität zum Cyber Resilience Act ist kritisch
Neue Vorschriften wie der bevorstehende Cyber Resilience Act der Europäischen Union unterstreichen die Dringlichkeit von Secure by Design und robusten Sicherheitsstandards für die Lieferkette, schreibt die Eclipse Foundation in der Pressemitteilung zum Projektbeginn. Doch geht der Grund für die Zusammenarbeit über die Einhaltung von Vorschriften hinaus. Vielmehr spielt Software, insbesondere Open-Source-Software, in der Gesellschaft eine wichtigere Rolle und der Bedarf an Zuverlässigkeit, Sicherheit und Schutz nimmt zu, heißt es weiter darin.
