Die Sovereign Tech Agency erhält Mittel vom Bundesministerium für Wirtschaft und Klimaschutz und investiert diese dann in Open-Source-Projekte. Davon profitiert jetzt auch die Eclipse Foundation, die für die Realisierung von zwei Projekten insgesamt 515.200 Euro erhält.

Zunächst geht es um die Einführung von Software Bills of Materials. Diese kurz SBOM genannten Verzeichnisse dokumentieren alle in einer Software verwendeten Bibliotheken und Komponenten. Sollte irgendwann eine Sicherheitslücke in einer dieser Abhängigkeiten auftreten, kann man anhand der SBOM schnell nachschlagen, welche Software davon betroffen ist.

Wer mit einer Eclipse IDE arbeitet, soll zukünftig direkt aus der Entwicklungsumgebung heraus SBOMs erzeugen können. Darüber hinaus soll die Eclipse Foundation für ihre eigenen Produkte SBOMs erstellen beziehungsweise sie in die Build-Pipelines ihrer Projekte integrieren. Im Einzelnen fordert die Sovereign Tech Agency die „Identifizierung der besten SBOM-Werkzeuge für verschiedene Projektkategorien, die Aktualisierung von Build-Prozessen und die Erstellung einer zentralen SBOM-Registrierung für alle Eclipse-Projekte.“

Das zweite unterstützte Projekt soll das Schwachstellenmanagement innerhalb der Eclipse Foundation verbessern. Das gelingt zum einen über Schulungen. In ihnen lernen die Mitarbeiter, schnell Schwachstellen zu analysieren und letztendlich zu beheben. Schwachstellen automatisch aufspüren sollen neu entwickelte Werkzeuge. Die Sovereign Tech Agency nennt hier Schwachstellen-Scanner und Management-Plattformen als Beispiele.

Beide Projekte sollen in erster Linie die Sicherheit der Eclipse-Projekte erhöhen. Dabei geht es nicht nur um die Entwicklungsumgebungen, sondern insbesondere auch um die vielen weiteren Anwendungen der Eclipse Foundation. Wie der Java Servlet-Container Jetty oder Jakarta EE kommen sie im Gesundheitssektor, im Finanzwesen und weiteren kritischen Umgebungen zum Einsatz. Dies rechtfertigt aus Sicht der Sovereign Tech Agency die Investitionen.

Die dabei von der Eclipse Foundation zu erfüllenden Aufgaben und Ziele fasst eine eigene Seite zusammen. Als Investitionsjahre sind dort 2024 und 2025 angegeben, die Unterstützung der Eclipse Foundation wurde allerdings erst jetzt angekündigt. Dies ist offenbar auf die lange Vorlaufzeit und das vorgeschaltete Prüfungsverfahren der Sovereign Tech Agency zurückzuführen. Die Eclipse Foundation erhält die ausgelobten 515.200 Euro zudem nicht auf einen Schlag. Stattdessen sind die Zahlungen an regelmäßige Zwischenberichte geknüpft, am Ende muss die Eclipse Foundation einen Abschlussbericht liefern.

Die Sovereign Tech Agency GmbH entstand aus dem Sovereign Tech Fund und ist derzeit ein Tochterunternehmen der Bundesagentur für Sprunginnovationen (SPRIND). Ihre Mittel erhält sie vom Bundesministerium für Wirtschaft und Klimaschutz.