Die EU hat mit dem Cyber Resilience Act (CRA) eine neue Ära der Cybersicherheit eingeläutet. Ab dem 11. September 2026 gelten erste Meldepflichten für Sicherheitslücken, und bis Dezember 2027 müssen alle Anforderungen vollständig umgesetzt sein. Für Entwickler:innen und Unternehmen, die Produkte mit digitalen Komponenten in der EU bereitstellen, bedeutet das, Sicherheitsstandards müssen von Anfang an mitgedacht und dokumentiert werden.
In Art. 13 (5) heißt es, „die Hersteller [lassen] die gebotene Sorgfalt walten, wenn sie von Dritten bezogene Komponenten in ihre Produkte […] integrieren”. Die Intention ist klar: Das Risiko von Supply-Chain-Angriffen wie der XZ Utils Backdoor soll reduziert werden.
Doch was bedeutet “gebotene Sorgfalt”?
Hersteller müssen sicherstellen, dass die Entwickler der eingebundenen Komponenten Cybersecurity ernst nehmen. Werden zum Beispiel Sicherheitsmeldungen entgegengenommen? Reagieren sie darauf? Wird das Projekt überhaupt noch aktiv gepflegt?
Hier zeigt sich schnell das Problem: Die meisten Softwareprodukte haben mindestens eine zweistellige Anzahl an Bibliotheken in direkter Abhängigkeit. Eine manuelle Überprüfung jeder Komponente regelmäßig durchzuführen, wird sehr schnell sehr aufwändig. Nur Automatisierung kann hier eine sinnvolle Lösung bieten.
Ein Bild zum Verständnis: Stellen Sie sich vor, Sie bauen ein Haus. Sie wählen dafür nicht nur Ihre eigenen Steine und Stützbalken, sondern auch Türen, Fenster und Schrauben von anderen Herstellern. Damit das Haus sicher ist, müssen Sie darauf vertrauen können, dass auch diese Bauteile stabil und geprüft sind. Bei Software ist es genauso: Jedes Programm besteht aus vielen „Bauteilen“ – oft sind das Bibliotheken aus der Open-Source-Welt. Wenn eine dieser Komponenten unsicher ist, kann das ganze System verwundbar werden.
Hier kommt das Open-Source Projekt Secure Sum von AUNOVIS ins Spiel. Es funktioniert wie ein automatischer Sicherheits-Check für diese digitalen Bauteile. Secure Sum nutzt OSSF Scorecard, um Antworten auf sicherheitsrelevante Fragen aus den Inhalten und Metadaten von Open-Source-Komponenten zu extrahieren. Da nicht alle Aspekte gleichermaßen relevant sind, kombiniert es sie anhand einer Metrik zu einem “Score”, einer Zahl zwischen 0 und 10, welche den Sicherheitszustand des Projekts widerspiegelt. Natürlich lassen sich auch die einzelnen Bewertungskriterien jederzeit einsehen.
Kurz gesagt: Das Tool prüft regelmäßig, ob Sicherheitslücken in der Lieferkette bekannt und die Projekte in einem sicheren Zustand sind.
Vorteile von Secure Sum
Da das Tool keine Nutzerinteraktion benötigt, kann es leicht automatisiert werden und die Sicherheit der Komponenten in einem festgelegten Rhythmus prüfen. Weiterhin bietet der Score ein einfaches, aber klares Kriterium, ob eine Komponente als zuverlässig oder nicht sicher einzustufen ist. So wird sofort klar: Ist das Teil sicher oder sollte man es lieber austauschen?
Zudem ist Cybersicherheit eng verflochten mit dem Kontext, in dem ein Produkt eingesetzt wird. Die geprüften Aspekte sind für unterschiedliche Produkte unterschiedlich relevant. Aus diesem Grund ermöglicht Secure Sum, die Metrik flexibel nach Belieben anzupassen.
Für Softwareprodukte, die über GitHub verwaltet werden, ist die Integration besonders einfach. AUNOVIS bietet für diesen Zweck die secure-sum-action auf dem Marketplace an. Aber auch auf andere Ökosysteme lässt sich Secure Sum leicht übertragen.
Fazit
Das Schützen der Lieferkette ist eine der anspruchsvollsten Anforderungen des CRA – wenn man es von Hand versucht.
Secure Sum hingegen bietet einen pragmatischen, beherrschbaren und zuverlässigen Einstieg in die Welt der regulatorischen Sicherheit. Wer das Tool heute integriert, ist morgen besser vorbereitet – und schützt damit nicht nur das eigene Unternehmen, sondern auch die Nutzer:innen seiner Produkte.
Autor:in
Simon Heidrich ist Softwareentwickler aus Leidenschaft und zertifizierter Cybersecurity-Experte ((ISC)²). Als Cybersecurity Officer trägt er bei AUNOVIS die Hauptverantwortung für diesen Bereich und bringt dabei seine wissenschaftliche Präzision als studierter Physiker sowie seine Begeisterung für moderne Technologien wie Rust ein. In seinem Einzelunternehmen Weichwerke Heidrich Software vertieft er seine Interessengebiete und spielt die gewonnenen Erfahrungen zurück an das Team von AUNOVIS – zum Nutzen innovativer Sicherheitsstrategien und robuster Softwarearchitekturen.
