Revision 1
2022-10-15
Die OpenChain Security Assurance Specification soll die wichtigsten Anforderungen an ein qualitativ hochwertiges Security Assurance Programm im Zusammenhang mit der Verwendung von Open Source Software identifizieren und beschreiben. Sie konzentriert sich auf ausgewählte Teilbereiche: die Überprüfung von Open Source Software gegen öffentlich bekannte Sicherheitslücken wie CVEs, GitHub/GitLab-Schwachstellenberichte und vergleichbare Risiken.
Sie können die OpenChain Security Assurance Specification übernehmen, indem Sie sich selbst zertifizieren oder mit einem Dienstleister für eine unabhängige Bewertung oder Zertifizierung durch Dritte zusammenarbeiten. Unsere Empfehlung ist die Selbstzertifizierung. Wir stellen dieses Dokument zur Verfügung, um die Selbstzertifizierung anhand einer Reihe von "Ja"- oder "Nein"-Aussagen zu ermöglichen. Wenn Sie alle Punkte mit "Ja" beantworten können, sind Sie selbst zertifiziert. Wenn Sie einige Punkte mit "nein" beantworten, wissen Sie, in welche Bereiche Sie weitere Zeit investieren müssen, um ein Qualitätsprogramm aufzubauen.
Sollten Sie Hilfe benötigen, so unterstützen wir gerne mit unseren umfangreichen Ressourcen. Sie können an unseren Mailinglisten, Webinaren, Gruppenanrufen und regionalen Arbeitsgruppen teilnehmen, um Herausforderungen mit Gleichgesinnten und in Ihrer Muttersprache zu diskutieren. Hier können Sie loslegen: https://www.openchainproject.org/community
Sollten Sie direkte Unterstützung durch das Projekt wünschen, können Sie sich mit Fragen per E-Mail an info@openchainproject.org wenden. Wir bieten gerne kostenlose Unterstützung an. Das OpenChain Projekt wird von unseren Platin-Mitgliedern finanziert und soll dazu beitragen, den Weg hin zu einer effektiveren und effizienteren Einhaltung von Open Source Lizenzen in der globalen Lieferkette zu ebnen.
Verfügen Sie über eine dokumentierte Richtlinie, die die Open Source Sicherheit der gelieferten Software gewährleistet?
- Ja
- Nein
Verfügen Sie über ein dokumentiertes Verfahren, das alle Software Mitarbeitenden auf die Existenz der Open Source Richtlinie aufmerksam macht?
- Ja
- Nein
Haben Sie die Rollen und Verantwortlichkeiten bestimmt, die sich auf die Leistung und Effektivität des Programms auswirken?
- Ja
- Nein
Haben Sie die für jede Rolle erforderlichen Kompetenzen bestimmt und dokumentiert?
- Ja
- Nein
Haben Sie eine Liste der Programmteilnehmenden erstellt und dokumentiert, und wie sie ihre jeweiligen Rollen ausüben?
- Ja
- Nein
Haben Sie die ermittelte Kompetenz jedes Programmteilnehmenden dokumentiert?
- Ja
- Nein
Gibt es eine Möglichkeit, regelmäßige Überprüfungen und Änderungen der Prozesse zu dokumentieren?
- Ja
- Nein
Gibt es eine Möglichkeit zu überprüfen, ob die Prozesse zu den aktuellen Best Practices des Unternehmens und dem Personaleinsatz passen?
- Ja
- Nein
Haben Sie die Richtlinie zur Gewährleistung der Open Source Sicherheit dokumentiert und sichergestellt, dass die Programmteilnehmenden wissen, wo sie zu finden ist?
- Ja
- Nein
Haben Sie die relevanten Open Source Ziele dokumentiert und dafür gesorgt, dass die Programmteilnehmer wissen, wo sie zu finden sind?
- Ja
- Nein
Haben Sie dokumentiert, welche Beiträge erwartet werden, um die Wirksamkeit des Programms zu gewährleisten, und haben Sie sichergestellt, dass die Programmteilnehmenden davon Kenntnis haben?
- Ja
- Nein
Haben Sie dokumentiert, welche Auswirkungen die Nichteinhaltung der Programmanforderungen hat, und haben Sie sichergestellt, dass die Programmteilnehmenden darüber informiert sind?
- Ja
- Nein
Verfügen Sie über eine schriftliche Erklärung, in der Sie den Umfang und die Grenzen des Programms eindeutig festlegen?
- Ja
- Nein
Verfügen Sie über eine Reihe von Indikatoren zur Messung der Programm Performance?
- Ja
- Nein
Verfügen Sie über dokumentierte Nachweise für jede Überprüfung, Aktualisierung oder jedes Audit, um eine kontinuierliche Verbesserung aufzeigen zu können?
- Ja
- Nein
Verfügen Sie über eine Methode, um strukturelle und technische Bedrohungen der gelieferten Software zu identifizieren?
- Ja
- Nein
Verfügen Sie über eine Methode zur Erkennung bekannter Schwachstellen in der gelieferten Software?
- Ja
- Nein
Verfügen Sie über eine Methode zur Nachverfolgung bekannter Schwachstellen?
- Ja
- Nein
Verfügen Sie über eine Methode, um Ihre Kunden über bekannte Schwachstellen zu informieren, wenn dies erforderlich ist?
- Ja
- Nein
Verfügen Sie über eine Methode, um bereits freigegebene gelieferte Software auf erst kürzlich bekannt gewordene Sicherheitslücken zu prüfen?
- Ja
- Nein
Verfügen Sie über eine Methode für kontinuierliche und wiederkehrende Sicherheitstests für die sämtliche gelieferte Software, die vor deren Freigabe durchgeführt werden?
- Ja
- Nein
Verfügen Sie über eine Methode, mit der Sie überprüfen können, ob die identifizierten Risiken vor der Freigabe der gelieferten Software behoben wurden?
- Ja
- Nein
Verfügen Sie über eine Methode, um Informationen über erkannte Risiken gegebenenfalls an Dritte weiterzugeben?
- Ja
- Nein
Verfügen Sie über eine Methode, die es Dritten ermöglicht, Anfragen zu bekannten Schwachstellen oder neu entdeckten Schwachstellen zu stellen (z. B. per E-Mail oder ein Webportal, das von den Programmteilnehmenden regelmäßig auf neue Meldungen geprüft wird)?
- Ja
- Nein
Verfügen Sie über ein internes dokumentiertes Verfahren zur Beantwortung von Anfragen Dritter zu bekannten oder neu entdeckten Sicherheitsrisiken?
- Ja
- Nein
Haben Sie die mit dem Programm verbundenen Personen, Gruppen oder Funktionen dokumentiert?
- Ja
- Nein
Haben Sie sichergestellt, dass die für das Programm identifizierten Rollen angemessen besetzt sind und eine angemessene Finanzierung bereitgestellt wurde?
- Ja
- Nein
Haben Sie sichergestellt, dass ausreichend Fachwissen vorhanden ist, um bekannte Schwachstellen zu beheben?
- Ja
- Nein
Verfügen Sie über ein dokumentiertes Verfahren, das die internen Zuständigkeiten für die Gewährleistung der Sicherheit festlegt?
- Ja
- Nein
Verfügen Sie über ein dokumentiertes Verfahren, das sicherstellt, dass sämtliche in der gelieferten Software verwendete Open Source Software während des gesamten Lebenszyklus der gelieferten Software kontinuierlich aufgezeichnet wird? Dazu gehört auch ein Archiv aller in der gelieferten Software verwendeten Open Source Software.
- Ja
- Nein
Verfügen Sie über hinreichende Dokumentation der Open Source Komponenten der gelieferten Software, die belegen, dass das dokumentierte Verfahren ordnungsgemäß eingehalten wurde?
- Ja
- Nein
Verfügen Sie über ein dokumentiertes Verfahren für die Erkennung und Behebung bekannter Sicherheitslücken für die Open Source Softwarekomponenten der gelieferten Software?
- Ja
- Nein
Verfügen Sie über Aufzeichnungen für die Open Source Komponenten der gelieferten Software, in denen die erkannten bekannten Sicherheitslücken und die ergriffenen Maßnahmen festgehalten werden (auch wenn keine Maßnahmen erforderlich waren)?
- Ja
- Nein
Verfügen Sie über Unterlagen, die bestätigen, dass das Programm alle Anforderungen dieser Spezifikation erfüllt?
- Ja
- Nein
Verfügen Sie über Unterlagen, die bestätigen, dass die Konformität des Programms innerhalb der letzten 18 Monate überprüft wurde?
- Ja
- Nein
Haben Sie sich selbst nach dieser Spezifikation zertifiziert? Bitte teilen Sie uns dies per E-Mail an operations@openchainproject.org mit. Wir würden gerne das Logo Ihrer Organisation auf der OpenChain Website veröffentlichen. Dies ist für Sie optional, aber unterstützt uns in unserer Arbeit.