Open Source Software ist mehr als nur reine Software, doch das Thema Cybersecurity erfordert gezielte Maßnahmen in der Entwicklung und im Betrieb – wie bei jeder anderen Software auch. In diesem Praxisbericht zeige ich anhand konkreter Beispiele, wie man Open Source-Projekte sicher entwickeln und nachhaltig betreiben kann. Der Bericht beleuchtet bewährte Methoden und Open-Source-Tools, die dazu beitragen, Open Source-Projekte robuster und vertrauenswürdiger zu machen.

Ein zentraler Fokus liegt auf dem „Shifting Left“-Ansatz, der Sicherheitsprüfungen frühzeitig in die Entwicklungsphase integriert. Mithilfe von Automatisierungen wie statischer Code-Analyse (SAST), dynamischen Sicherheitstests (DAST), Dependency Scanning und Supply-Chain-Security können Sicherheitsrisiken bereits während der Entwicklung reduziert werden.

Der BSI-Grundschutz wird dabei mit seinen wichtigsten Bausteinen für die Umsetzung und den Betrieb von Open Source-Projekten vorgestellt. Jeder Baustein liefert praxisnahe Anforderungen und Empfehlungen, die dabei helfen, typische Sicherheitslücken systematisch zu schließen und so die Betriebssicherheit langfristig zu gewährleisten.

Abgerundet wird der Praxisbericht durch den in drei Jahren in Kraft tretenden Cyber Resilience Act (CRA) und die Herausforderungen, die auf Open Source-Projekte zukommen. Dieser neue Rechtsrahmen fordert eine intensive Vorbereitung und Zusammenarbeit, um die zukünftigen Anforderungen zu erfüllen.

Zum Abschluss lade ich zum Austausch und zur Diskussion ein: Gemeinsam erörtern wir, wie sich Open Source-Projekte sicher umsetzen und betreiben lassen, um den Anforderungen der Zukunft gerecht zu werden.