OTTRIA - die Open Source Trust, Threat and Risk Intelligence Alliance - steht zwischen Open-Source-Projekten und Unternehmen. Wir verdienen nicht an Open Source - wir sichern sie.
Open Source ist das Fundament der digitalen Wirtschaft. Millionen von Softwareprojekten, gepflegt von engagierten Menschen, oft ohne Budget, ohne Vertrag, ohne Absicherung. Unternehmen weltweit bauen darauf - und tragen ab sofort die gesetzliche Verantwortung dafür.
OTTRIA ist die Brücke zwischen diesen beiden Welten. Wir kommen aus der Open-Source-Community und verstehen die Realität der Maintainer. Gleichzeitig kennen wir die regulatorischen Anforderungen, die DORA, NIS2 und der Cyber Resilience Act an Unternehmen stellen. Unsere Aufgabe ist es, beide Seiten zusammenzubringen - ohne die eine für die andere zu instrumentalisieren. Wie eine Brücke tragen wir die Last von beiden Ufern: Wir übersetzen die Anforderungen der Unternehmen in Unterstützung für die Community und die Ergebnisse der Community in prüffähige Nachweise für die Unternehmen.
Der CRA definiert Pflichten für die Angebotsseite — für Stewards und Hersteller. Aber der weitaus größere Druck entsteht auf der Nachfrageseite: bei den Unternehmen, die Open Source einsetzen.
DORA verpflichtet Finanzunternehmen, Open-Source-Analysen als Testmethode durchzuführen (Art. 25 Abs. 1 DORA) und alle IKT-Drittparteienrisiken aktiv zu managen (Art. 28 Abs. 1-3 DORA). NIS2 macht die Sicherheit der Lieferkette zur Pflichtmaßnahme für 18 Sektoren kritischer Infrastruktur (Art. 21 Abs. 2 lit. d NIS2) — einschließlich der Bewertung der Sicherheitsprozesse aller Zulieferer. Die neue Produkthaftungsrichtlinie macht Software erstmals zum haftungsfähigen Produkt (Art. 4 RL 2024/2853), mit Beweislasterleichterung für Geschädigte (Art. 12 RL 2024/2853).
Dieser Druck fließt direkt zu den Projekten: Unternehmen werden Compliance-Fragebögen schicken, Sicherheitsprozesse einfordern und dokumentierte Reaktionszeiten erwarten — von Maintainern, die weder Budget noch Kapazität dafür haben. OTTRIA fängt diesen Druck ab.
Andere investieren in prestigeträchtige Kernprojekte. Wir investieren in alle Projekte aus den SBOMs unserer Kunden.
Wenn ein Unternehmen 800 Open-Source-Komponenten in seiner Software-Stückliste hat, dann kümmern wir uns nicht nur um die fünf bekanntesten. Wir kümmern uns um alle 800 - einschließlich der Projekte, die kaum jemand kennt, die aber trotzdem kritisch sind.
Das bedeutet konkret: Wir fördern, unterstützen und schützen auch die kleinen Projekte, die in keinem Katalog stehen, für die kein Enterprise-Support existiert und die trotzdem in tausenden Lieferketten stecken.
Sie pflegen ein Open-Source-Projekt mit wenigen Leuten? Sie tragen die Verantwortung, aber es fehlt an Ressourcen? Wir helfen konkret - mit Hardware, CI/CD-Infrastruktur, Code-Beiträgen, Tests und mehr.
Mehr erfahren: Unterstützung für Einzelprojekte
Der Cyber Resilience Act führt die Rolle des "Verwalters quelloffener Software" ein. Foundations können ungewollt in diese Rolle fallen. Wir übernehmen die damit verbundenen Pflichten - europäisch, in Ihrer Sprache, ohne fremdes Recht.
Mehr erfahren: Stewardship für Foundations
Sie haben eine SBOM mit hunderten Komponenten und brauchen jemanden, der sich um die Lieferkette kümmert? Wir überwachen, fixen und dokumentieren - damit Sie gegenüber Auditoren und Aufsichtsbehörden bestehen.
Mehr erfahren: Leistungen für Unternehmen
Alles was wir tun ist Open Source - Patches, Reviews, Issues, SBOMs. Wir arbeiten öffentlich, weil wir davon überzeugt sind, dass Transparenz die Grundlage von Vertrauen ist.
Unsere Commits, unsere Issues, unsere Patches - alles ist öffentlich einsehbar. Wenn Sie wissen wollen, was OTTRIA tatsächlich leistet, schauen Sie sich unsere Arbeit an.
OTTRIA registriert sich freiwillig als "Verwalter quelloffener Software" nach dem Cyber Resilience Act (Art. 3 Nr. 14 CRA). Das ist keine Marketing-Entscheidung, sondern eine gesetzliche Verpflichtung: Wir müssen eine dokumentierte Cybersicherheitsstrategie vorweisen, Schwachstellenmanagement betreiben, mit Marktaufsichtsbehörden zusammenarbeiten und Meldepflichten einhalten (Art. 24 CRA). Diese Pflichten gehen über das hinaus, was ein kommerzieller Dienstleister freiwillig zusagen würde.
Für Projekte bedeutet das: Wir sind gesetzlich verpflichtet, Ihre Entwicklung nachhaltig zu unterstützen. Für Unternehmen bedeutet das: Wir erhalten Sicherheitsmeldungen Wochen bis Monate vor der öffentlichen Veröffentlichung - und können Fixes vorbereiten, bevor die Lücke bekannt wird.
Sie haben ein Open-Source-Projekt und suchen Unterstützung? Sie sind eine Foundation und möchten über Stewardship sprechen? Kontaktieren Sie uns.