Skip to content

ISO/IEC 18974:2023 - Information Technology - OpenChain Security Assurance Specification

Die IEC 18974 ist ein Schwester-Standard zum OpenChain Standard (ISO 5230). Er ergänzt die Anforderungen an das Open Source Programm um ergänzende Aufgaben des Security Managements für die Open Source Komponenten.

Überblick

  • Segment: Cybersecurity für Open Source Software
  • Verabschiedet / Veröffentlicht: Der Standard wurde im Dezember2023 eingeführt
  • Ziel: Sicherstellen der
  • Verwandete Standards:
  • ISO/IEC 5230
  • IEC 81001-5-1

Zentrale Forderungen

Hier eine kurze Zusammenfassung der wichtigsten Anforderungen der IEC 62304:

  • Programmgrundlagen:

Es muss eine Policy vorliegen, welche die für das UNternehmen erforderlichen Anforderungn formuliert. Sie sollte reglmäßig einem Review unterzogen werden. Auch muss das Unternehmen sicherstellen, dass es über die erfordelrichen Komptenzen zur Beurteilung der Komponentensichrheit verfügt. Dies kann durch inetrne oder externe Kräfte erfolgen. Enstrprechende Rollenbeschreibungen und Kompetenzprofile sollten vorliegen. Auch ist für eine Verbreitung der Policy bzw. des damit verbundenen Wissens zu sorgen. Das Programm sollte auch klar abgrenzen, welche Unternehmensteile es betrifft.

  • Umsetzung und Implementierung:

Die Norm erfordert einen Schnwachstellenidentifikations-, behandlungs und Kommunikationsprozess, wie er "State of the Art" ist. Andauerndes Sicherheitstesting sowie die Bereitstellung der Ergebnisse gehören ebenfalls zu den Inhalten der Spezifikation. Weiterhin wird gefordert, dass das Team, bzw. die Rollen, welche mit der Umsetzung beauftragt werden, hinreichend befähigt und ausgerüstet sein sollten, um den Anforderungen auch gerecht zu werden.

  • SBOM und Komponentensicherheit:

Es sollte ein Prozess existieren, der das Erzeugen und die Verwaltng der Software Bill of Materials (SBOMs) beschreibt und die Beachtung der Open Source Komponenten berücksichtigt, die Schwachstellen Identifikation, Verifiklation und Behebung entsprechend unterstützt.

  • Anforderungskonformitöt:

Es muss belegt werden, dass das Unternehmen die formulierten Anforderungen tatsächlich erfüllt.

Die Spezifikation - genau wie ihre Schwester-Spezifikation - enthält zu jedem Punkt eine Information zu dem erfordelrichen Verifikationsmaterial. Auf den Webseiten der OpenChain-initiative finden sich entsprechende Referenzmaterialien.

Lösungsansätze & Hilfestellungen

Die Spezifikation - genau wie ihre Schwester-Spezifikation - enthält zu jedem Punkt eine Information zu dem erfordelrichen Verifikationsmaterial. Auf den Webseiten der OpenChain-initiative finden sich entsprechende Referenzmaterialien zu den Verifikationsobjekten.

  • Eine Lösung den Anforderungen gerecht zu werden ist die Einführung von TrustSource, s. https://github.com/trustsource/ts-core-ce