Cyber Resilience Act: Initiative der Eclipse Foundation hilft bei Compliance

Die Eclipse Foundation hat den Start des OCCTET-Projekts bekannt gegeben: Hinter dem Namen „Open Source Compliance: Comprehensive Techniques and Essential Tools“ verbirgt sich eine von der Europäischen Kommission finanzierte Initiative zum Thema Cyber Resilience Act (CRA). Sie bringt ein Konsortium aus Industriegrößen, Cybersecurity-Experten und Open-Source-Vertretern zusammen – mit dem Ziel, kleinen und mittleren Unternehmen (KMU) sowie Entwicklerinnen und Entwicklern die Compliance ihrer Open-Source-Software (OSS) mit dem CRA zu vereinfachen. Dazu stellt sie ein Toolkit an Ressourcen zur Verfügung.

Unternehmen müssen jetzt handeln – OCCTET kann unterstützen

Wie Mike Milinkovich, Executive Director der Eclipse Foundation, in der OCCTET-Ankündigung betont, ist die Compliance mit dem CRA eine mehrjährige Reise, die Unternehmen jetzt priorisieren müssen. Doch selbst solchen, die die Dringlichkeit verstehen, mangele es häufig an in-House-Expertise.

Dort setzt die neue Initiative an: Das bald erscheinende OCCTET Toolkit soll umfassende Ressourcen bereitstellen, die sich speziell an KMU richten. Dazu zählen unter anderem eine CRA-Compliance-Checkliste, Konformitäts-Assessment-Spezifikationen, automatisierte Evaluierung von Methoden und Tools und eine föderierte Datenbankplattform, um OSS-Komponenten-Assessments zu veröffentlichen und Beiträge mehrerer Stakeholder zu ermöglichen. Weiterführende Details zu den Inhalten des Toolkits liefert die OCCTET-Website, und zusätzlich ist eine Mailingliste verfügbar.

ORC Working Group: Neue Mitglieder und erste Ressourcen

OCCTET ist nicht die einzige Initiative der Eclipse Foundation in Bezug auf den CRA. Auch die Open Source Regulatory Compliance Working Group (ORC Working Group) bietet nun erste Ressourcen an, um die CRA-Implementierung und -Compliance zu unterstützen. Zudem hat die Working Group einen Zuwachs vorzuweisen: Als strategische Mitglieder sind jetzt Microsoft und Red Hat mit an Bord, als weitere Mitglieder Google, exkide und Open Source Matters.

Die ORC Working Group besteht seit September 2024 und soll insbesondere vor dem Hintergrund des Cyber Resilience Act die Relevanz und Compliance von Open-Source-Software sicherstellen. Sie steht unter der anbieterneutralen Verwaltung der Eclipse Foundation, der größten Open-Source-Foundation in Europa, und profitiert von ihrem offiziellen Verbindungsstatus mit dem Europäischen Komitee für Normung (CEN) und dem Europäischen Komitee für elektrotechnische Normung (CENELEC) sowie ihrer aktiven Partizipation am Europäischen Institut für Telekommunikationsnormen (ETSI) und an der CRA-Expertengruppe der Europäischen Kommission.

Bereits zum Start der Arbeitsgruppe erhielt die Eclipse Foundation Unterstützung von Industriegrößen wie Bosch, Mercedes-Benz und Siemens sowie von anderen Open-Source-Stiftungen und kann inzwischen über 50 Mitglieder vorweisen – darunter rund 20 Open-Source-Stiftungen. Wie Milinkovich im Gespräch mit heise Developer betont, sei eine solche Zusammenarbeit von zahlreichen Open-Source-Stiftungen wohl einzigartig. Nun trägt die ORC Working Group die ersten Früchte, die zur Community-Review bereit sind.

Auf GitHub hat die Working Group ein Inventar an Ressourcen öffentlich gestellt, die für das Entwickeln und Verwenden von Open-Source-Software gemäß dem Cyber Resilience Act relevant sind. Das Dokument skizziert unter anderem die Prinzipien von Security-Resilienz im Sinne des CRA und behandelt Themen wie generische Sicherheitsanforderungen, Vulnerability-Management und Software Bills of Materials (SBOMs). Das Dokument hebt hervor, dass es sich um einen Entwurf handelt, der jederzeit aktualisiert, ersetzt oder für obsolet erklärt werden könnte – auch beim Zitieren daraus ist daher darauf zu achten, dass es sich um ein „Work in Progress“ handelt.

CRA-Einführung mit Hürden

Schon im Herbst 2023 sprach heise Developer mit Mike Milinkovich über den CRA – der damals die Welt der Open-Source-Software in Atem hielt, da er dramatische Auswirkungen darauf hätte haben können. Der CRA hat seit den ersten Entwürfen bis zur finalen Version dahingehend Änderungen durchlaufen: Verantwortlich für die Compliance sind nun nicht die Open-Source-Projekte, die im kommerziellen Umfeld genutzt werden, sondern die Unternehmen, die diese Software verwenden. Die Änderungen gehen nicht zuletzt auf Bemühungen von Open-Source-Organisationen wie der Eclipse Foundation und ihrer Stakeholder in der Industrie zurück. Wie Mike Milinkovich in einem erneuten Gespräch mit heise Developer sagt, sei dies das erste Mal, dass irgendwo auf der Welt bei einem Gesetz eine neue Form des ökonomischen Akteurs namens „Open Source Software Steward“ berücksichtigt wurde.

Im Grunde genommen sei der Cyber Resilience Act eine gute Sache, so Milinkovich: Der Zweck des CRA sei es, die Cybersicherheit von Produkten, die an Konsumenten und Unternehmen in Europa verkauft werden, zu verbessern – und es gebe zu viele Beispiele von Produkten, die in ihrem Design und ihrer Implementierung, aber auch in Bezug auf den Support über den Lebenszyklus des Produkts hinweg, keine guten Industriestandards für Cybersicherheit erfüllt hätten. Jedoch bringe die Komplexität der Implementierung einen Kulturschock, denn die drei Jahre dauernde Implementierungsphase zwischen Dezember 2024 und Dezember 2027 werde blitzschnell – „in the blink of an eye“ – vergehen.

(mai)