Um die Cybersicherheit in Open-Source-Systemen zu erhöhen und ihre Unterstützung des Cyber Resilience Act (CRA) der Europäischen Union zu demonstrieren, haben eine Reihe von Organisationen eine gemeinsame Initiative angekündigt. Gemeinsam wollen sie eine Spezifikation für die sichere Softwareentwicklung erstellen. Daran beteiligen sich Apache Software Foundation, die Blender Foundation, die Eclipse Foundation, die OpenSSL Software Foundation, die PHP Foundation, die Python Software Foundation und die Rust Foundation.
Eclipse Foundation lädt zur Mitarbeit ein
Das Projekt ist bei der in Brüssel ansässigen Eclipse Foundation AISBL und des Eclipse Foundation Specification Process beheimatet und wird in einer neuen Arbeitsgruppe umgesetzt. Die Eclipse Foundation lädt in ihrer Pressemitteilung andere Open Source-Initiativen sowie KMU, Industrieunternehmen und Forschungseinrichtungen ein, sich ebenfalls am Projekt zu beteiligen.
Auf bewährter Praxis aufbauen
Ausgangspunkt der Arbeit sind die bereits bestehenden Sicherheitsrichtlinien und -verfahren der Open-Source-Stiftungen und ähnliche Dokumente, in denen Best Practices beschrieben werden. Die Leitung der Arbeitsgruppe folgt dem mitgliedergeführten Modell der Eclipse Foundation, wird aber durch eine erweiterte Vertretung der Open-Source-Gemeinschaft ergänzt, um für Vielfalt und Ausgewogenheit bei der Entscheidungsfindung zu sorgen. Die Ergebnisse sollen als Prozessspezifikationen veröffentlicht werden, die unter einer liberalen Copyright-Lizenz für Spezifikationen und einer gebührenfreien Patentlizenz zur Verfügung gestellt werden.
Konformität zum Cyber Resilience Act ist kritisch
Neue Vorschriften wie der bevorstehende Cyber Resilience Act der Europäischen Union unterstreichen die Dringlichkeit von Secure by Design und robusten Sicherheitsstandards für die Lieferkette, schreibt die Eclipse Foundation in der Pressemitteilung zum Projektbeginn. Doch geht der Grund für die Zusammenarbeit über die Einhaltung von Vorschriften hinaus. Vielmehr spielt Software, insbesondere Open-Source-Software, in der Gesellschaft eine wichtigere Rolle und der Bedarf an Zuverlässigkeit, Sicherheit und Schutz nimmt zu, heißt es weiter darin.
Open-Source-Gemeinschaften und -Stiftungen binden sich zwar bereits an branchenübliche Best Practices im Sicherheitsbereich, doch fehlt es den Ansätzen häufig an Abstimmung und Dokumentation. Der europäische CRA setzt die Stiftungen nun unter Zugzwang, hier nachzubessern.
Open-Source-Sicherheitsstandards sind schwierig zu entwickeln
Der CRA zieht zahlreiche Standardisierungsanforderungen der Europäischen Kommission an die Europäischen Standardisierungsorganisationen nach sich. Zu den europäischen Anforderungen dürften ähnliche aus den USA und anderen Regionen hinzukommen. Der CRA definiert eine neue Art von Wirtschaftsakteur: den Open Source Steward. Auch in diesem Zusammenhang möchten die Open Source Foundations gemeinsame Spezifikationen für eine sichere Softwareentwicklung definieren.
Verschärft wird die Herausforderung durch folgende Faktoren
• Die globale Software-Infrastruktur besteht zu über 80 Prozent aus Open Source. Der Software-Stack, der jedem Produkt mit digitalen Elementen zugrunde liegt, wird in der Regel mit Open-Source-Software erstellt. Wer also von der Software-Lieferkette spricht, bezieht sich zuerst auf Open Source, gleichwohl nicht ausschließlich.
• Normungsorganisationen haben in der Vergangenheit wenig mit Open-Source-Gemeinschaften und der breiteren Software-/IT-Branche zusammengearbeitet. Ihre Governance-Modelle bieten den Open-Source-Gemeinschaften derzeit keine Möglichkeiten zur Beteiligung.
• Open-Source-Gemeinschaften haben nur begrenzte Erfahrung im Umgang mit Normungsorganisationen. Zudem ist es für sie aufgrund ihrer begrenzten Ressourcen schwierig, sich einzubringen.
• Die Erarbeitung von Standards ist in der Regel ein langwieriger Prozess, und die Zeit drängt.
Unklar wie, aber es soll schnell gehen
Die neuen Cybersicherheitsstandards müssen zu den Anforderungen gängiger Open-Source-Entwicklungsprozesse und -Gemeinschaften passen. Unklar ist, wie das im vorgegebenen Zeitrahmen geschehen kann. Zumal die entstehenden Spezifikationen auch den Bedürfnissen der großen Softwareanbieter, vertikaler Branchen sowie kleiner und mittlerer Unternehmen entsprechen soll.
Praktiken zusammenführen
Trotz dieser Herausforderungen gibt es eine Grundlage für die Entwicklung. Open-Source-Gemeinschaften und -Stiftungen haben bereits sichere Softwareentwicklungsprozesse erarbeitet und angewendet. Das schließt koordinierte Offenlegung, Peer Reviews und Freigabeprozesse ein. Diese Methoden wurden von jeder Organisation dokumentiert, zum Teil mit unterschiedlicher Terminologie und verschiedenen Ansätzen. Die Eclipse Foundation geht davon aus, dass die technische Dokumentation dieser bestehenden Cybersicherheitsprozesse einen Ausgangspunkt für die Entwicklungen bieten kann, die für die Einhaltung der CRA-Vorschriften erforderlich sind.
Ziel ist Mitwirkung an der europäischen Normung
Ziel ist es, dass die erarbeiteten Spezifikationen in die formellen Normungsprozesse von mindestens einer der europäischen Normungsorganisationen einfließen können. In Anbetracht des engen Zeitrahmens für die Umsetzung der CRA stellt dieser schnelle Start ein konstruktives Umfeld für die technischen Diskussionen dar, die für die Stewards, Mitwirkenden und Anwender von Open Source notwendig sind, um die Anforderungen des CRA zu erfüllen.
Aufruf zur Zusammenarbeit
Die Eclipse Foundation ist offen für Interessenten, die an den Spezifikationen für eine sichere Open-Source-Entwicklung mitarbeiten möchten. Gemeinsam mit Open-Source-Organisationen, KMU, Großunternehmen und Forschungseinrichtungen sollen die Aufgaben angegangen werden, die sich durch den Cyber Resilience Act stellen. Die Eclipse Foundation hat angekündigt, Informationen zum Projekt über eine Mailingliste zu verteilen.
