Open-Source- & Cyber-Resilienz-Gesetz - trotz unterschiedlicher Meinungen

Der Cyber-Resilienz-Akt (CRA) der Europäischen Union wird ein neues regulatorisches Rahmenwerk für Produkte mit digitalen Elementen einführen, das die Software-Entwicklung, einschließlich Open-Source-Projekte, beeinflussen wird. Die Anforderungen des CRA werden erhebliche Auswirkungen auf Open-Source-Projekte haben, und ein proaktiver Ansatz ist erforderlich, um seine Anforderungen zu verstehen. Um den Einfluss des CRA zu bewerten, wurde eine praktische Bewertung anhand eines Open-Source-Projekts, es6-fuzz, einer kleinen JavaScript-Bibliothek, durchgeführt. Das Projekt wurde als kritische Sicherheits- und Wartungsmängel aufweisend befunden, einschließlich veralteter Abhängigkeiten und fehlender Sicherheitsmanagementprozesse. Das Projekt verfügt nicht über eine Schwachstellen-Offenlegungsrichtlinie, eine Unterstützungs- oder Wartungslebenszyklus-Erklärung und erfüllt nicht die modernen Sicherheitsstandards. Um diese Probleme zu beheben, muss das Projekt seine Plattform modernisieren, ein formales Schwachstellen-Management-Verfahren implementieren, die Dokumentation verbessern und eine Software-Bill-of-Materials (SBOM) generieren. Automatisierte Sicherheits-Tooling wird auch integriert, um laufende Sicherheitspraktiken sicherzustellen. Die Anforderungen des CRA können als Chance für Open-Source-Projekte angesehen werden, ihre Sicherheitslage zu verbessern und sich an moderne Sicherheitsstandards anzupassen. Durch einen proaktiven Ansatz können Open-Source-Projekte lernen, das neue regulatorische Umfeld zu navigieren und unnötige Risiken zu vermeiden.