Im Rahmen einer Open-Source-Codeanalyse hat das BSI den Messenger Matrix und die Social-Media-Anwendung Mastodon auf kritische Schwachstellen untersucht.
Das passt vielleicht nicht ganz zum Thema, aber mich würde die Haltung des BSI zu FOSS interessieren.
Das BSI hat Anfang August eine “Technische Richtlinie” (TR) zu einem “sicherem Software-Lebenszyklus” veröffentlicht und fordert die Softwarehersteller auf, “Informationssicherheit von Anfang mitzudenken”.
“Sichere Soft- und Hardware bilden die Grundlage für den sicheren Einsatz von IT-Produkten in Staat, Wirtschaft und Gesellschaft”, heisst es. Aber dann kommt im gleichen Dokument der Hinweis:
Die TR lässt sich in ihrem aktuellen Stand nicht anwenden auf Prozesse zur Entwicklung von Software, die üblicherweise als „Open Source Software (OSS)“ oder „Free / Libre and Open Source Software (FLOSS / FOSS)“ bezeichnet werden. Für diesen Zweck müssen die Anforderungen an die Eigenheiten der Entwicklung von Open Source Software angepasst werden.
Kommt da noch was FOSS-spezifisches vom BSI? Weiss da jemand mehr?
Das passt vielleicht nicht ganz zum Thema, aber mich würde die Haltung des BSI zu FOSS interessieren.
Das BSI hat Anfang August eine “Technische Richtlinie” (TR) zu einem “sicherem Software-Lebenszyklus” veröffentlicht und fordert die Softwarehersteller auf, “Informationssicherheit von Anfang mitzudenken”.
“Sichere Soft- und Hardware bilden die Grundlage für den sicheren Einsatz von IT-Produkten in Staat, Wirtschaft und Gesellschaft”, heisst es. Aber dann kommt im gleichen Dokument der Hinweis:
Kommt da noch was FOSS-spezifisches vom BSI? Weiss da jemand mehr?
(Die TR zum Download gibt es hier.)
[Edit typo.]