Freie und Open-Source-Software (FOSS)
Software, deren Quellcode mit einer Lizenz verfügbar gemacht wird, die Nutzern die Rechte zur Verwendung, Vervielfältigung, Änderung und Verbreitung einräumt. In ein kommerzielles Produkt integrierte FOSS-Komponenten fallen für den integrierenden Hersteller in den Anwendungsbereich des CRA. Nicht-kommerzielle FOSS-Entwicklung und -Lieferung ist generell ausgeschlossen; OSS-Stewards unterliegen einem angepassten Regime.
Quellenangaben
Regulierungstext
Artikel 3(48) der Verordnung (EU) 2024/2847 definiert freie und Open-Source-Software als:
„Software, deren Quellcode offen geteilt wird und die im Rahmen einer freien und Open-Source-Lizenz zur Verfügung gestellt wird, die allen Nutzern das Ausführen, Kopieren, Verteilen, Studieren, Ändern und Verbessern der Software gestattet".
CRA-Anwendungsbereich für FOSS
| Rolle | CRA-Behandlung |
|---|---|
| Nicht-kommerzieller FOSS-Entwickler ohne kommerzielle Tätigkeit | Außerhalb des Geltungsbereichs (Art. 2(1)) |
| FOSS-Entwickler mit kommerziellem Modell | Im Geltungsbereich als Hersteller |
| OSS-Steward (Stiftung/Projekt) | Reduzierte Pflichten nach Art. 24 |
| Unternehmen, das FOSS in kommerzielles Produkt integriert | Im Geltungsbereich als Hersteller |
SBOM und FOSS
Die SBOM-Anforderung ist besonders relevant für FOSS. Hersteller müssen ihre Top-Level-Abhängigkeiten dokumentieren, zu denen häufig bekannte Open-Source- Bibliotheken gehören. Dies ermöglicht eine schnelle Bewertung, ob neu entdeckte Schwachstellen das Produkt betreffen.