FOSSGIS 2025 OpenSource sicher entwickeln und betreiben – Prozesse, Anforderung und Tools im Fokus

Описание: https://media.ccc.de/v/fossgis2025-58...

Open Source ist mehr als nur Software – sicher wird sie jedoch erst durch gezielte Entwicklungs- und Betriebsprozesse. Der Vortrag zeigt, wie Open Source-Projekte sicher gestaltet und betrieben werden können. Mit „Shifting Left“ und Automatisierung werden Sicherheitslücken frühzeitig erkannt, während Standards wie BSI-Grundschutz und der Cyber Resilience Act (CRA) wichtige Rahmenbedingungen setzen. Praxisnahe Einblicke in SAST, DAST und Supply-Chain-Security runden das Thema ab.

Open Source Software ist mehr als nur reine Software, doch das Thema Cybersecurity erfordert gezielte Maßnahmen in der Entwicklung und im Betrieb – wie bei jeder anderen Software auch. In diesem Praxisbericht zeige ich anhand konkreter Beispiele, wie man Open Source-Projekte sicher entwickeln und nachhaltig betreiben kann. Der Bericht beleuchtet bewährte Methoden und Open-Source-Tools, die dazu beitragen, Open Source-Projekte robuster und vertrauenswürdiger zu machen.

Ein zentraler Fokus liegt auf dem „Shifting Left“-Ansatz, der Sicherheitsprüfungen frühzeitig in die Entwicklungsphase integriert. Mithilfe von Automatisierungen wie statischer Code-Analyse (SAST), dynamischen Sicherheitstests (DAST), Dependency Scanning und Supply-Chain-Security können Sicherheitsrisiken bereits während der Entwicklung reduziert werden.

Der BSI-Grundschutz wird dabei mit seinen wichtigsten Bausteinen für die Umsetzung und den Betrieb von Open Source-Projekten vorgestellt. Jeder Baustein liefert praxisnahe Anforderungen und Empfehlungen, die dabei helfen, typische Sicherheitslücken systematisch zu schließen und so die Betriebssicherheit langfristig zu gewährleisten.

Abgerundet wird der Praxisbericht durch den in drei Jahren in Kraft tretenden Cyber Resilience Act (CRA) und die Herausforderungen, die auf Open Source-Projekte zukommen. Dieser neue Rechtsrahmen fordert eine intensive Vorbereitung und Zusammenarbeit, um die zukünftigen Anforderungen zu erfüllen.

Zum Abschluss lade ich zum Austausch und zur Diskussion ein: Gemeinsam erörtern wir, wie sich Open Source-Projekte sicher umsetzen und betreiben lassen, um den Anforderungen der Zukunft gerecht zu werden.

Florian Micklich

https://pretalx.com/fossgis2025/talk/...

#fossgis2025 #Praxisberichte

Licensed to the public under https://creativecommons.org/licenses/...