Moderne Produkte mit digitalen Komponenten basieren in hohem Maße auf Free and Open Source Software (FOSS). Dadurch entstehen komplexe Software-Lieferketten, die Innovationen beschleunigen, zugleich jedoch neue systemische Risiken für Cybersicherheit und Compliance mit sich bringen. Jüngste Vorfälle in Software-Lieferketten haben gezeigt, wie sich Schwachstellen in weit verbreiteten Komponenten über Tausende nachgelagerter Produkte hinweg ausbreiten können. Gleichzeitig fehlt vielen Herstellern – insbesondere kleinen und mittleren Unternehmen (KMU) – noch immer die vollständige Transparenz über ihre Softwareabhängigkeiten und die damit verbundenen Sicherheitsrisiken. Mit dem EU Cyber Resilience Act (CRA) werden erstmals verbindliche Anforderungen über den gesamten Produktlebenszyklus hinweg eingeführt. Dazu zählen unter anderem die systematische Identifikation von Softwarekomponenten, ein strukturiertes Schwachstellenmanagement sowie umfassende Sicherheitsdokumentation. Für viele Unternehmen, insbesondere KMU, stellt die praktische Umsetzung dieser regulatorischen Vorgaben in konkrete betriebliche Prozesse jedoch eine erhebliche Herausforderung dar. Der Beitrag stellt das EU-geförderte Projekt OCCTET (Open source Compliance Comprehensive Techniques and Essential Tools) vor. Ziel des Projekts ist die Entwicklung einer offenen und modularen Werkzeugkette, die Unternehmen bei der Umsetzung der CRA-Anforderungen unterstützt. OCCTET umfasst unter anderem Module, mit denen Organisationen prüfen können, ob ihre Produkte in den Anwendungsbereich des CRA fallen, sowie strukturierte Gap-Analysen gegenüber den regulatorischen Anforderungen durchführen können. Der Artikel konzentriert sich insbesondere auf die technischen Komponenten dieser Toolchain – darunter die automatisierte Erstellung von Software Bills of Materials (SBOM), die Korrelation von Schwachstellen sowie die Erstellung von Dokumentationen im Vulnerability Exploitability eXchange (VEX)-Format.
