Der Cyber Resiliance Act aus der Entwickler-Perspektive

Die Einführung des Cyber Resilience Act (CRA) erfordert eine Fokussierung auf Software Sicherheit und die dazugehörigen Lieferketten. In diesem Talk möchte ich daher auf die praktischen Herausforderungen aus der Perspektive der Software-Entwicklerrolle eingehen und einige Aspekte des CRA beleuchten. Auf den ersten Blick sind Entwickler/Innen eher weiter entfernt von Gesetzen und politischen Entscheidungen dieser Größenordnung. Gerade die Vergangenheit hat aber schmerzlich gezeigt, wie wichtig das Bewusstsein und die Implementierung sicherer CI-/CD Pipelines, reproduzierbarer Builds und das aktive Managen von verwendeten Bibliotheken sind. Leider ist ‚works-on-my-machine‘ wiedermal nicht gut genug. Verschiedene Open-Source-Communities wie beispielsweise die Eclipse Foundation oder reproducible-builds.org haben sich bereits diesen Themen verschrieben und bieten Lösungen und Hilfestellungen an, die ich vorstellen möchte. Am Ende dieses Talks möchte ich einige Denkanstöße, Problemstellungen, aber auch Lösungsansätze aufgezeigt haben und ein paar Hilfestellungen zur Supply Chain Security vermittelt haben.