Öffentliche Ausschreibung Leipzig 2023 The Reproducible Builds Project 2023-08-30

The Reproducible Builds Project

Freiwillige Ex-ante-Transparenzbekanntmachung

Dienstleistungen

Rechtsgrundlage:

Richtlinie 2014/24/EU

Abschnitt I: Öffentlicher Auftraggeber/Auftraggeber

I.1)Name und Adressen

Offizielle Bezeichnung: SPRIND GmbH
Ort: Leipzig
NUTS-Code: DED51 Leipzig, Kreisfreie Stadt
Land: Deutschland
Kontaktstelle(n): Leo Lerch
E-Mail:
Internet-Adresse(n):
Hauptadresse: https://sovereigntechfund.de/

I.4)Art des öffentlichen Auftraggebers

Andere: Beneficiary

I.5)Haupttätigkeit(en)

Andere Tätigkeit: Software

Abschnitt II: Gegenstand

II.1)Umfang der Beschaffung

II.1.1)Bezeichnung des Auftrags:

The Reproducible Builds Project

II.1.2)CPV-Code Hauptteil

72262000 Software-Entwicklung

II.1.3)Art des Auftrags

Dienstleistungen

II.1.4)Kurze Beschreibung:

Reproducible Builds project's mission is to ensure the security of the 'supply chains' used in open source software — that is, preventing attacks targeting the complex systems that build our shared digital infrastructure.

II.1.6)Angaben zu den Losen

Aufteilung des Auftrags in Lose: nein

II.1.7)Gesamtwert der Beschaffung (ohne MwSt.)

Wert ohne MwSt.: 294 500.00 EUR

II.2)Beschreibung

II.2.2)Weitere(r) CPV-Code(s)

73000000 Forschungs- und Entwicklungsdienste und zugehörige Beratung

II.2.3)Erfüllungsort

NUTS-Code: DED51 Leipzig, Kreisfreie Stadt

II.2.4)Beschreibung der Beschaffung:

Since 2015, the Reproducible Builds project has helped thousands of FOSS projects ensure that no compromises to their build systems can occur. This includes Tails (https://tails.boum.org/), a free operating system used by journalists collaborating on WikiLeaks, the Pegasus project, and the Panama papers.

On a deeper level, the project addresses a key problem in the integrity of our digital infrastructure: although security experts can analyse the source code of FOSS projects, almost all the software that we actually use is assembled by a complex network of third-parties.

Because of this, bad actors can compromise thousands of systems by tampering with software after it was initially written —but before it reaches end-user systems. This can be achieved by manipulating app stores and other software repositories, or by hacking the build systems that convert human-readable source code into computer code.

To address this critical 'missing piece', the Reproducible Builds project provides a framework and set of tools so that software projects can verify the link from the original source code to the actual binary code running on users' devices. With Reproducible Builds, FOSS projects are able to mathematically prove that no supply-chain compromises have occurred.

The project can reveal the injection of backdoors introduced by compromising build farms, package repositories, developers' laptops and so on. But it can also uncover when organisations or individuals have been compelled to make changes via blackmail or government order. The users of a number of high-profile projects such as Tor, Tails and Debian are much more secure today because of this work.

More generally, FOSS is an increasingly vital resource in virtually all industries, so ensuring the integrity of open source projects increases the integrity of our entire digital infrastructure in general. By investing in the Reproducible Builds project, the STF Is contributing to the security and long term maintainance of critical FOSS components, as well as a newer and safer software development paradigm, therefore working towards its mission of securing the FOSS ecosystem.

The Project is divided into seven main-activites:

1. Development of reliable archive snapshot service

2. Diffoscope improvements

3.Interview Series

4. Reproducibility of the Debian installer

5. Debian NMU (Non-Maintainer Upload) campaign

6. Testing framework

7. Package rebuilders

II.2.5)Zuschlagskriterien

II.2.11)Angaben zu Optionen

Optionen: nein

II.2.13)Angaben zu Mitteln der Europäischen Union

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

II.2.14)Zusätzliche Angaben

Abschnitt IV: Verfahren

IV.1)Beschreibung

IV.1.1)Verfahrensart

Auftragsvergabe ohne vorherige Bekanntmachung eines Aufrufs zum Wettbewerb im Amtsblatt der Europäischen Union (für die unten aufgeführten Fälle)

Der Auftrag fällt nicht in den Anwendungsbereich der Richtlinie

Erläuterung:

As a research and development service, the contract is excluded from the scope of application of public procurement law (cf. Section 116 (1) No. 2 Act against Restraints on Competition).

IV.1.3)Angaben zur Rahmenvereinbarung

IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA)

Der Auftrag fällt unter das Beschaffungsübereinkommen: nein

IV.2)Verwaltungsangaben

Abschnitt V: Auftragsvergabe/Konzessionsvergabe

V.2)Auftragsvergabe/Konzessionsvergabe

V.2.1)Tag der Zuschlagsentscheidung:

31/07/2023

V.2.2)Angaben zu den Angeboten

Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein

V.2.3)Name und Anschrift des Auftragnehmers/Konzessionärs

Offizielle Bezeichnung: Software Freedom Conservancy, Inc.
Ort: New York City
NUTS-Code: US United States
Land: Vereinigte Staaten

Der Auftragnehmer/Konzessionär wird ein KMU sein: ja

V.2.4)Angaben zum Wert des Auftrags/Loses/der Konzession (ohne MwSt.)

Gesamtwert des Auftrags/des Loses/der Konzession: 294 500.00 EUR

V.2.5)Angaben zur Vergabe von Unteraufträgen

Abschnitt VI: Weitere Angaben

VI.3)Zusätzliche Angaben:

VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren

VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren

Offizielle Bezeichnung: Die Vergabekammern der Bundes
Ort: Bonn
Land: Deutschland

VI.5)Tag der Absendung dieser Bekanntmachung:

25/08/2023

Datenschutzerklärung