Die Eclipse Foundation gründet die Open Regulatory Compliance Working Group zur Unterstützung bei globalen Open-Source-Regularien

Die Arbeitsgruppe soll die Einhaltung von Vorschriften im Open-Source-Ökosystem erleichtern und wird von führenden Organisationen und globalen Technologieunternehmen gestützt

Brüssel, 25.09.2024 /

Die Eclipse Foundation, eine der weltweit größten Open-Source-Foundations, ruft die Open Regulatory Compliance Working Group (ORC WG) ins Leben. Die Initiative zielt darauf ab, die gesamte Open-Source-Community – Entwickler, Unternehmen, Branchen und Open-Source-Organisationen – bei der Einhaltung komplexer und dynamischer regulatorischer Rahmenbedingungen zu unterstützen. Darüber hinaus arbeitet die Working Group eng mit Regierungen und Behörden zusammen, um deren Verständnis für das Open-Source-Entwicklungsmodell zu schärfen. Ziel der Working Group ist es, den Einsatz von Open Source in der zunehmend regulierten Software-Lieferkette voranzutreiben. Die Arbeitsgruppe wird dabei von führenden Open-Source-Organisationen und Technologieführern aus der Branche unterstützt.

„Angesichts des Einflusses der Softwaretechnologie auf die Weltwirtschaft ist es nicht überraschend, dass Regierungen weltweit neue Vorschriften zum Schutz der Privatsphäre, der Sicherheit und der Zugänglichkeit erlassen“, sagte Mike Milinkovich, Executive Director der Eclipse Foundation. „Die Open Regulatory Compliance Working Group wurde gegründet, um die Lücke zwischen den Regulierungsbehörden und dem Open-Source-Ökosystem zu schließen sowie dafür zu sorgen, dass Organisationen und Entwickler Open-Source-Technologien nutzen können und sich gleichzeitig an globale Vorschriften halten.“

Die neu gegründete Working Group hat es sich zur Aufgabe gemacht, bewährte Verfahren der Branche zu formalisieren und Organisationen grundlegende Ressourcen zur Verfügung zu stellen, die ihnen bei der Einhaltung der Vorschriften in verschiedenen Regionen helfen. Ein weiteres Ziel besteht darin, Behörden und Regierungsorganisationen bei der Schaffung einer höheren Rechtssicherheit für die Software-Lieferkette zu unterstützen.

Durch Kollaboration und gemeinsame Richtlinien versucht die Arbeitsgruppe Software-Qualität und -Sicherheit in Open-Source-Projekten zu verbessern. Unterstützt durch das starke Engagement der Eclipse Foundation für Open-Source-Lieferkettensicherheit setzt die Arbeitsgruppe ein Team aus Sicherheitsexperten zusammen, die strenge Prozesse einhalten. Als CVE-Nummerierungsstelle spielt die Eclipse Foundation eine Schlüsselrolle bei der effektiven Verwaltung von Schwachstellen und gewährleistet, dass die Sicherheit für alle Mitwirkenden, Projekte und Nutzer innerhalb des Ökosystems weiterhin oberste Priorität hat.

Die Open Regulatory Compliance Working Group befasst sich zwar allgemein mit der Einhaltung von Open-Source-Vorschriften, ihr unmittelbarer Schwerpunkt liegt jedoch auf dem europäischen Cyber Resilience Act (CRA). Da die Umsetzung des CRA näher rückt, konzentrieren sich die ersten Projekte der Arbeitsgruppe auf die Einhaltung der neuen Gesetzgebung.

Aktuelle Projekte

Prozessspezifikationen: Entwicklung von Prozessspezifikationen und bewährten Verfahren für die Cybersicherheit, abgestimmt auf den CRA.

Zusammenarbeit mit europäischen Behörden: Die Arbeitsgruppe steht in regem Austausch mit den verschiedenen europäischen Institutionen, um Fristen und Termine im Blick zu behalten und frühzeitig Materialien zur Einhaltung der Vorschriften erstellen zu können. Der Schwerpunkt liegt dabei auf dem CRA.

Formalisierung der Beteiligung an Standardisierungsprozessen: Die Arbeitsgruppe verfügt bereits über einen formellen Kooperationsstatus mit dem Europäischen Komitee für Normung (CEN) und dem Europäischen Komitee für elektrotechnische Normung (CENELEC). Die Ausweitung dieser Arbeitsbeziehung auf andere europäische und nationale Normungsorganisationen soll den Beitrag zur Erarbeitung von Regulierungsstandards erhöhen.

Bildungsressourcen für Branche und Community: Eine Reihe von Webinaren mit Mitarbeitern der Europäischen Kommission soll die Open-Source-Community über den Gesetzgebungsprozess der EU auf dem Laufenden halten. Aufzeichnungen und Materialien, darunter Sitzungen wie „How to Read the CRA“ unter der Leitung von Enzo Ribagnac, stellvertretender Direktor für Europapolitik bei der Eclipse Foundation, sind hier verfügbar.

Alle Informationen an einem Ort: Die Arbeitsgruppe entwickelt zentrale Ressourcen, die alle relevanten Inhalte im Zusammenhang mit CRA enthalten, einschließlich Webinaren, Glossaren, Flowcharts und FAQs, um über die EU-Richtlinien zu informieren.

Gemeinsames Engagement
Die Arbeitsgruppe erhält große Unterstützung von zahlreichen Open-Source-Organisationen und Privatunternehmen. Zum Zeitpunkt dieser Ankündigung gehören folgende Organisationen zu den Mitgliedern: Apache Software Foundation (ASF), Blender Foundation, CodeDay, The Document Foundation, FreeBSD Foundation, iJUG, Lunatech, Matrix.org Foundation, Nokia, NLnet Labs, Obeo, Open Elements, OpenForum Europe, OpenInfra Foundation, Open Source Initiative (OSI), Open Source Robotics Foundation (OSRF), OWASP, Payara Services, The PHP Foundation, Python Software Foundation, Rust Foundation, Scanoss, und Siemens.

Weitere Informationen zur Teilnahme an der Open Regulatory Compliance Working Group finden Sie hier.

Zitate der Mitglieder
Apache Software Foundation (ASF)
„Der CRA wirkt sich auf Open-Source-Nutzer gleichermaßen aus wie auf Entwickler. Die Gesetzgeber profitieren von dem Expertenteam der Open-Source-Organisationen, das die Eclipse Foundation zusammengestellt hat. Sie stellen sicher, dass die Gesetzgebung so gestaltet wird, dass sie alle Parteien schützt. Die Apache Software Foundation hat sich dem Schutz unserer digitalen Zukunft verschrieben, indem sie sich den vielfältigen Herausforderungen der Cybersicherheit im Open-Source-Ökosystem stellt und den CRA umsetzt.“ – David Nalley, Präsident der Apache Software Foundation

Bosch
„Bosch unterstützt den EU Cyber Resilience Act (CRA) als harmonisierten Rahmen für Cybersicherheit, erkennt aber auch die entscheidende Rolle von Open Source Software (OSS) in seiner Lieferkette. Daher ist es von entscheidender Bedeutung, die Nutzung von OSS angemessen zu regeln. Dies erfordert neue OSS-Due-Diligence-Prozesse, die in enger Zusammenarbeit zwischen OSS-Verantwortlichen und Herstellern entwickelt werden. Wir begrüßen die Initiative der Eclipse Foundation, Software-Sicherheitsspezifikationen zur Verfügung zu stellen, die mit Open-Source-Praktiken im Einklang stehen. Wir sind zuversichtlich, dass wirdurch das Zusammenspiel von Branchenführern, KMUs, Forschern und OSS-Experten in der Lage sein werden, Prozesse zu entwickeln, die den Anforderungen entsprechen, und gleichzeitig die offene Entwicklung unterstützen. Wir gehen auch davon aus, dass diese Prozesse als Blaupause für die kommende EU-Datenschutz- und KI-Gesetzgebung und zukünftige Regulierungen dienen werden“. – Dr. Andreas Nauerz – Geschäftsführer Robert Bosch GmbH

The Document Foundation
„Die Document Foundation beteiligt sich an der Open Regulatory Compliance Working Group, weil wir der Ansicht sind, dass die Entwicklung gemeinsamer Best Practices für die Sicherheit von Open Source Software ein wichtiger Faktor für die Anerkennung von FOSS als Schlüsselelement der globalen IT-Infrastruktur und Einhaltung von Gesetzen wie dem Cyber Resilience Act in der EU ist.“ – Italo Vignoli, Direktor bei The Document Foundation

FreeBSD Foundation
„Die FreeBSD Foundation ist stolz auf die Mitgliedschaft in der Open Regulatory Compliance Working Group. Diese Initiative ist entscheidend, um Entwicklern und Organisationen dabei zu helfen, weiterhin innovativ zu sein und sich gleichzeitig in komplexen globalen Vorschriften wie dem European Cyber Resilience Act zurechtzufinden. Wir glauben, dass die Zusammenarbeit innerhalb der Open-Source-Community unerlässlich ist, um diese Herausforderungen zu meistern, und wir freuen uns, einen Beitrag zu leisten“ – Deb Goodkin, Executive Director der FreeBSD Foundation

Mercedes-Benz Tech Innovation GmbH
„Wir unterstützen die Mission der Open Regulatory Compliance Working Group, die Zukunft der sicheren Softwareentwicklung in Europa gemeinsam mit der Europäischen Kommission, Open-Source-Stiftungen und anderen Akteuren der Industrie zu gestalten.“ – Jochen Strenkert, Chief Engineer MB.OS

Nokia
„Open Source Communities und die von ihnen produzierte Software werden für die gesamte Industrie immer wichtiger. Gerade deshalb sind das Wohlergehen und die Nachhaltigkeit von Open Source Communities für Nokia von größter Bedeutung. Der Cyber Resilience Act (CRA) der Europäischen Union stellt potenziell neue Anforderungen an Open Source Communities. Nokia ist der festen Überzeugung, dass die Ziele des EU-CRA und das bestmögliche Ergebnis nur erreicht werden können, wenn die Open-Source-Community eine starke Stimme in diesem Prozess hat. Wir glauben, dass die Open Regulatory Compliance Working Group der richtige Weg ist, um dies zu erreichen. Daher ist es für Nokia eine Ehre, der ORC WG beizutreten. Wir freuen uns darauf, als Teil der Gemeinschaft daran zu arbeiten, das bestmögliche Ergebnis für alle im Rahmen der EU CRA zu erzielen“. – Jonne Soininen, Leiter der Open-Source-Initiativen bei Nokia

Obeo
„Als KMU mit Open Source als Teil seiner DNA und als strategisches Mitglied der Eclipse Foundation freut sich Obeo, der Open Regulatory Compliance Working Group beizutreten. Durch die Zusammenarbeit mit wichtigen Akteuren der Branche in kritischen und strategischen Sektoren glauben wir, dass offene Innovation unerlässlich ist, um sich in der entstehenden Regulierungslandschaft zurechtzufinden . Wir betonen, wie wichtig es ist, dass neue Vorschriften die Einzigartigkeit dieses Modells anerkennen, um dafür zu sorgen, dass die Community weiterhin floriert und gleichzeitig die behördlichen Anforderungen erfüllt.“ – Cédric Brun, Präsident von Obeo

Die Open Source Initiative (OSI)
„Die Einhaltung des Cyber Resilience Act und anderer kommender Gesetze stellt eine neue Herausforderung für die Open-Source-Community dar. Die Open Regulatory Compliance Working Group gibt uns die Möglichkeit, gemeinsam Lösungen zu finden und mit Gesetzgebern und Regulierungsbehörden zusammenzuarbeiten, um ihnen zu helfen, Open Source besser zu verstehen. Wir freuen uns auf die Zusammenarbeit in der Arbeitsgruppe. – Stefano Maffulli, Geschäftsführer von OSI

Open Source Robotics Foundation (OSRF)
„Die OSRF freut sich, an der Open Regulatory Compliance Working Group beteiligt zu sein. Die Ergebnisse dieser Arbeitsgruppe werden nicht nur bewährte Verfahren und Methoden für Open-Source-Projekte hervorbringen, die bei der Einhaltung des neuen Cyber Resilience Act der EU befolgt werden müssen. Sie werden zudem Open-Source-Projekte, einschließlich Robotik, in die Lage versetzen, auch andere bestehende und zukünftige Vorschriften einzuhalten, die eine sicherere Welt für alle schaffen. Wir fühlen uns geehrt, bei dieser wichtigen Aufgabe mit anderen Open-Source-Stiftungen zusammenzuarbeiten.“ – Geoff Biggs, CTO der Open Source Robotics Foundation.

Payara Services Ltd
„Wir bei Payara sind stolz darauf, ein aktiver Teilnehmer der Open Regulatory Compliance Working Group (ORC WG) zu sein. Durch die Zusammenarbeit mit anderen Mitgliedern der ORC WG tragen wir zur Entwicklung von Best Practices, Richtlinien und Standards bei, die der Open-Source-Community helfen, die ständig wachsenden regulatorischen Anforderungen zu erfüllen, angefangen beim European Cyber Resilience Act (CRA). Wir sind der Meinung, dass die Umsetzung dieser Vorschriften unerlässlich ist, um sicherere Software und einen soliden Schutz für Nutzer und Unternehmen weltweit zu gewährleisten. Unsere aktive Beteiligung an dieser Arbeitsgruppe unterstreicht unser Engagement dafür, dass Open-Source-Lösungen für Unternehmen weltweit eine vertrauenswürdige Wahl bleiben.“ – Steve Millidge, Gründer von Payara Services Ltd

The PHP Foundation
„Wir freuen uns, der Open Regulatory Compliance Working Group beizutreten. Angesichts neuer Vorschriften wie dem Cyber Resilience Act (CRA) ist es großartig, mit anderen Open-Source-Stiftungen zusammenzuarbeiten. Wir teilen unser Wissen über die Entwicklung sicherer Software und lernen voneinander. Unser Ziel ist simpel: Wir möchten dazu beitragen, dass diese neuen Vorschriften für alle funktionieren, ohne die Kreativität zu unterdrücken, die Open Source so großartig macht.“ – Roman Pronskiy, Executive Director bei der PHP Foundation

Python Software Foundation
Die Sicherheit von Python ist für alle unsere Nutzer aus verschiedenen Gründen wichtig, aber der kürzlich verabschiedete Cyber Resilience Act (CRA) hat einen starken Anreiz geschaffen, an einem kollektiven Verständnis von Best Practices für alle Beteiligten zu arbeiten. Wir schätzen die Möglichkeit, mit unseren Open-Source-Kollegen in der Open Regulatory Compliance Working Group über diese Themen zu diskutieren und zusammenzuarbeiten. – Deb Nicholson, Geschäftsführerin der Python Software Foundation

Rust Foundation
„Die Rust Foundation freut sich, der Open Source Compliance Working Group beizutreten. Wir freuen uns auf die Zusammenarbeit mit wichtigen Akteuren aus dem Open-Source-Bereich und der Industrie, um dafür zu sorgen, dass die entstehenden und sich entwickelnden Regelwerke von hoher Qualität sind, die einzigartigen und wertvollen Eigenschaften von Open Source berücksichtigen und angemessen sind.“ – Rebecca Rumbul, Executive Director und CEO, Rust Foundation

SCANOSS
„Wir sehen jeden Tag, dass der Bedarf an Regulierungsinstrumenten und einer robusten Lieferkettensicherheit wächst. SCANOSS hat es sich zur Aufgabe gemacht, die umfassendste Open-Source-Erkennungs- und SBOM-Lösung bereitzustellen, die Unternehmen dabei unterstützt, Risiken zu minimieren und Vorschriften wie den CRA einzuhalten. Wir fühlen uns geehrt, gemeinsam mit der Eclipse Foundation an der Spitze dieser Bemühungen zu stehen, um die Sicherheit und Widerstandsfähigkeit der Lieferkette für Open-Source-Software zu gewährleisten.“ – Alan Facey, CEO bei SCANOSS.

Siemens
„Open-Source-Technologien sind in viele unserer Lösungen eingebettet und für diese von entscheidender Bedeutung. Durch unsere Mitarbeit in der Open Regulatory Compliance Working Group gestalten wir aktiv Standards, um die Einhaltung künftiger Vorschriften sicherzustellen.“ – Oliver Fendt, Senior Manager Open Source bei Siemens

SoftwareHeritage
„Die Aufgabe von Software Heritage, das von Inria in Zusammenarbeit mit der UNESCO ins Leben gerufen wurde, besteht darin, den gesamten öffentlich verfügbaren Software-Quellcode zu sammeln, zu erhalten und zu verbreiten. Mit über 50 Milliarden Software-Artefakten, die durch die SoftwareHashIdentifier(SWHID)-Spezifikation gesichert sind, garantieren wir die langfristige Verfügbarkeit, stellen die Integrität sicher und ermöglichen die Rückverfolgbarkeit über das gesamte Software-Ökosystem. Als grundlegende, gemeinnützige, offene Infrastruktur für Softwareintegrität und Compliance freuen wir uns, der Open Regulatory Compliance Working Group beizutreten, um die sich entwickelnde regulatorische Landschaft zu unterstützen und dafür zu sorgen, dass das Open-Source-Ökosystem floriert“. – Roberto Di Cosmo, Mitbegründer und Geschäftsführer, Software Heritage

Jetzt teilen:

Über Eclipse Foundation

Die Eclipse Foundation bietet einer globalen Community von Entwicklern und Organisationen eine ausgereifte, skalierbare und geschäftsfreundliche Umgebung für Zusammenarbeit und Innovation im Bereich Open Source Software. Unter dem Dach der Foundation befinden sich die Eclipse IDE, Adoptium, Software Defined Vehicle, Jakarta EE und insgesamt über 415 Open-Source-Projekte, darunter Runtimes, Tools, Specifications und Frameworks für Cloud- und Edge-Anwendungen, IoT, KI, Automotive, Systems Engineering, RISC-V-basierte offene Prozessarchitektur und viele weitere. Die Eclipse Foundation mit Sitz in der „europäischen Hauptstadt“ Brüssel ist eine internationale Non-Profit-Organisation, die von mehr als 360 Mitgliedern getragen wird. Um mehr zu erfahren, besuchen Sie uns online auf eclipse.org oder folgen Sie uns auf unseren Social-Media-Kanälen @EclipseFdn, LinkedIn.

Eclipse Foundation auf:

Pressekontakt Eclipse Foundation

EclipseFoundation@schwartzpr.de

Kontakt PR-Agentur

Schwartz Public Relations GmbH
Sendlinger Straße 42A
D-80331 München

Team Eclipse Foundation
E-Mail: eclipsefoundation@schwartzpr.de

Gloria Huppert
Tel.: +49 (0) 89 211 871 70
E-Mail: gh@schwartzpr.de

Marita Bäumer
Tel.: +49 40 76974462
E-Mail: mb@schwartzpr.de

Downloads

Klicken Sie auf ein Bild, um eine große Version des Bildes anzuzeigen (und dann Download per Rechtsklick).

    Weitere Beiträge
    des Kunden