CRA Konformität in Open Source Software Eclipse Foundation startet OCCTET-Projekt für CRA-Konformität

Anbieter zum Thema

MicroConsult Academy GmbH

emlix GmbH

Linutronix GmbH

Das von der EU-Kommission mitgeförderte Projekt OCCTETder Eclipse Foundation soll kleinen und mittleren Unternehmen (KMU) und Open-Source-Entwicklern dabei helfen, die Anforderungen des Cyber Resilience Act (CRA) zu erfüllen.

Das Projekt „Open Source Compliance: Comprehensive Techniques and Essential Tools” (OCCTET) bringt ein Konsortium aus Branchenführern, Cybersicherheitsexperten und Open-Source-Befürwortern zusammen, um kostenlose Open-Source-Tools zu entwickeln, die die Einhaltung gesetzlicher Vorschriften zugänglicher, transparenter und kostengünstiger machen.

„Die Einhaltung des CRA ist ein mehrjähriger Prozess, den Unternehmen jetzt priorisieren müssen“, sagte Mike Milinkovich, Executive Director der Eclipse Foundation. „Selbst Unternehmen, die die Dringlichkeit verstehen, verfügen oft nicht über das erforderliche interne Fachwissen, um diesen Prozess zu bewältigen. OCCTET soll den Weg zur Compliance so einfach wie möglich gestalten und ergänzt unsere umfassenden Bemühungen, sicherzustellen, dass die Open-Source-Community über die Ressourcen verfügt, um unter diesen neuen regulatorischen Rahmenbedingungen erfolgreich zu sein.“

Der Cyber Resilience Act führt verbindliche Cybersicherheitsanforderungen für alle digitalen Produkte ein, die in der EU verkauft werden, einschließlich Software. Er gilt für Hersteller, Softwareanbieter und Wartungsunternehmen und verpflichtet sie, sichere Entwicklungspraktiken einzuführen und Schwachstellen in ihrer gesamten Software-Lieferkette transparent zu behandeln. Der CRA trat im Dezember 2024 in Kraft, und Unternehmen stehen nun unter Zeitdruck, um die neuen Anforderungen vor ihrem Inkrafttreten zu erfüllen.

Für viele KMU besteht die größte Herausforderung darin, zu wissen, wo sie anfangen sollen. Mit begrenzten Ressourcen und wenig internem Compliance-Know-how sind sie oft überfordert. Open-Source-Software, die laut einer Studie der Harvard Business School aus dem März 2025 mittlerweile schätzungsweise in 96 Prozent aller kommerziellen Softwareprogramme enthalten ist, erschwert die Compliance-Bemühungen zusätzlich, da sie in der Regel von dezentralen Communities entwickelt und gepflegt wird und nicht von einem einzigen Anbieter kontrolliert wird.

OCCTET begegnet diesen Herausforderungen mit offenen, kollaborativen Lösungen, die die Komplexität und Kosten der CRA-Compliance reduzieren und es KMU ermöglichen, sich auf Innovationen zu konzentrieren, ohne Abstriche bei der Sicherheit machen zu müssen.

Das OCCTET-Toolkit bietet eine umfassende Reihe von Ressourcen, die auf die Bedürfnisse von KMU zugeschnitten sind, darunter:

• eine Checkliste zur CRA-Compliance,

• Spezifikationen für die Konformitätsbewertung,

• automatisierte Bewertungsmethoden und -tools,

• eine föderierte Datenbankplattform zur Veröffentlichung von OSS-Komponentenbewertungen, die Beiträge von mehreren Interessengruppen ermöglicht,

• Verzeichnisse automatischer Tools zur Abhängigkeitsanalyse, sowie

• ein Berichterstellungstool zur Erstellung von Dokumentationen und Nachweisen.

Ausführliche Informationen zum Toolkit, zu den teilnehmenden Organisationen und zur Teilnahme finden Sie unter https://occtet.eu.

Die Eclipse Foundation treibt auch andere CRA-bezogene Initiativen voran, darunter die Open Regulatory Compliance (ORC) Working Group, die aktiv gemeinschaftsorientierte Ressourcen und Spezifikationen entwickelt, um die CRA-Implementierung in Open-Source-Ökosystemen zu unterstützen. Weitere Informationen und Möglichkeiten zur Teilnahme finden Sie unter orcwg.org oder im CRA Hub auf GitHub. (sg)

(ID:50532536)