openCode als Baustein einer souveränen digitalen Infrastruktur
„Sichere Softwarelieferketten sind ein entscheidender Faktor für eine funktionierende Digitalisierung. Sie machen Abhängigkeiten deutlich und damit beherrschbar. Wir schaffen hier außerdem ein Angebot, dass uns dringend benötigte Skalierbarkeit ermöglicht, um Cybersicherheit wirkungsvoll umzusetzen. Entscheidend dafür ist das gelungene Zusammenspiel vieler Akteure, so wie wir es uns für Cybernation Deutschland wünschen."
Claudia Plattner, Präsidentin des BSI
„Die Entwicklung einer souveränen digitalen Infrastruktur ist für unsere Daseinsvorsorge im 21. Jahrhundert unverzichtbar. Mit openCode setzen wir einen wesentlichen Baustein, um die Sicherheit unserer Softwarelieferketten zu stärken und so die digitale Handlungsfähigkeit des Staates auch in einer komplexen geopolitischen Landschaft zu bewahren."
Leonhard Kugler, Abteilungsleitung Open-Source-Plattform
Komplexe Softwarelieferketten brauchen neue, standardisierte Prüfverfahren
Nahezu jede Software greift auf hunderte oder tausende bestehende Einzelkomponenten, Bibliotheken und Tools zurück. Die Gesamtheit dieser Komponenten bildet die Softwarelieferkette. Wird ein Teil dieser Kette kompromittiert oder fällt weg, entstehen erhebliche Risiken für alle Nutzenden. Eine vollständige Prüfung von Softwarelieferketten ist bislang angesichts ihrer Komplexität für einzelne Softwareanbieter kaum realisierbar. Es erfordert einen neuen Ansatz, der über die Möglichkeiten einzelner Organisationen hinausgeht und die Fachkenntnisse von Sicherheitsexpert:innen, Entwickler:innen und Behörden gezielt bündelt, standardisierte Prüfverfahren etabliert und gemeinsame Sicherheitsanalysen ermöglicht.
openCode als Kernbaustein für eine sichere digitale Infrastruktur
Zentraler Baustein ist die Plattform openCode. Sie kann einen präventiven Ansatz durch kontinuierliche, automatisierte Sicherheitsprüfungen und transparente Softwarelieferketten ermöglichen: Bei einem Sicherheitsvorfall können Artefakte und Betroffene zuverlässig identifiziert und Echtzeitlagebilder erstellt werden, sodass gezielt gewarnt werden kann. So wird openCode zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland.
Das openCode Badge-Programm
Bereits jetzt werden Qualitätsmerkmale von auf openCode liegender Software – beispielsweise zu Wartung und Nachnutzung – automatisch aus dem Code abgeleitet. Mehr über Badges erfahren
Umsetzungsplan
Um den Herausforderungen zu begegnen, schlagen wir eine Schrittweise Implementierung vor. Aufgrund der gebotenen Dringlichkeit, mahnen wir schnelles Handeln und mutige Schritte, die Abhängigkeiten zu adressieren, an.
Grundlagen schaffen
- Einführung und Ausbau des Badge-Programms für automatisierte Qualitäts- und Sicherheitsprüfungen
- Aufbau einer ersten Container-Registry als souveräne, verlässliche Bezugsquelle für Container-Images Implementierung grundlegender Signierungsmechanismen
- Gemeinsame Entwicklung von Qualitätskriterien in Abstimmung mit dem BSI für sichere Container
Ausbau der Infrastruktur
- Etablierung einer hochsicheren Build-Umgebung
- Proof of Concept für die Prüfung von Qualitätskriterien in Abstimmung mit dem BSI
- Integration der europäischen Compliance-Anforderungen
- Entwicklung von Lagebildern zur Erkennung und Bewertung von Sicherheitsrisiken
Strategische Integration
- Ausbau zu einer krisenfesten Infrastruktur (mit Verteidigungsfallniveau)
- Integration in die nationale Sicherheitsarchitektur
- Unterstützung für kritische Infrastrukturen
- Aufbau einer Dezentralen und Föderierten Infrastruktur für Softwarelieferketten
Strategiepapier lädt zu Beteiligung ein
In dem gemeinsamen Strategiepapier inklusive Umsetzungsplan haben das BSI und das ZenDiS
ihr Konzept für eine sichere und souveräne Softwarelieferkette dargelegt.
Rückmeldungen aus der Fachöffentlichkeit sind ausdrücklich erwünscht.
Bitte kontaktieren Sie uns unter info@opencode.de.
