七家開源基金會聯合製定歐盟《網路復原力法案》的共同標準
歐洲議會上個月通過了《歐洲網路復原力法案》(CRA),七家開源基金會正在共同為該法案創建通用規範和標準。 Apache 軟體基金會、Blender 基金會、Eclipse 基金會、OpenSSL軟體基金會、PHP 基金會、Python 軟體基金會和Rust 基金會透露,他們打算匯集集體資源,將開源軟體開發中現有的安全最佳實踐連接起來,確保在三年後新法規生效時,備受詬病的軟體供應鏈能夠完成任務。
據估計,當今70% 至90% 的軟體都是由開源元件組成的,其中許多都是程式設計師利用自己的時間和資金免費開發的。
近兩年前,《網路復原力法案》首次以草案形式亮相,旨在為在歐盟範圍內銷售的硬體和軟體產品編纂最佳網路安全實踐。該法案旨在強制所有連網產品的製造商及時更新所有最新修補程式和安全性更新,並對不足之處進行處罰。
這些違規處罰包括最高1,00 萬歐元的罰款,或全球營業額的2.5%。
該法案的最初版本引起了眾多第三方機構的猛烈抨擊,其中包括十多個開源行業機構,他們去年曾寫過一封公開信,稱該法案可能會對軟體開發產生”寒蟬效應”。投訴的焦點集中在”上游”開源開發者可能要為下游產品的安全缺陷承擔責任,從而使志願項目維護者因擔心法律報復而不敢開發關鍵組件(這與上個月通過的歐盟《人工智能法》引起的擔憂類似)。
CRA 法規中的措辭確實為開源領域提供了一些保護,因為從技術上講,不關心其作品商業化的開發者可以免責。然而,對於”商業活動”的具體內容,這些措辭還有待解釋–例如,贊助、贈款和其他形式的財政援助算不算?
最終對案文進行了一些修改,修訂後的立法通過澄清開放原始碼項目的不適用情況,實質地解決了人們關注的問題。
雖然新法規已經獲得橡皮圖章,但要到2027 年才會生效,這就給了各方時間來滿足要求,並理清對他們的期望的一些更微小的細節。而這正是七家開放原始碼基金會攜手合作的目的所在。
許多開放原始碼專案的發展方式意味著它們通常只有零散的文檔(如果有的話),這就很難為審核提供支持,也使下游製造商和開發人員很難開發自己的CRA 流程。
許多資源較好的開源計畫已經有了像樣的最佳實踐標準,涉及協調漏洞揭露和同儕審查等方面,但每個實體可能使用不同的方法和術語。透過團結一致,這將在一定程度上有助於把開源軟體開發視為受相同標準和流程約束的單一”事物”。
再加上其他擬議的法規,包括美國的《開源軟體安全法案》,各種基金會和”開源管理者”在軟體供應鏈中的作用顯然將受到更嚴格的審查。
Eclipse 基金會在今天的一篇部落格文章中寫道:「雖然開源社群和基金會普遍遵守並在歷史上建立了有關安全的行業最佳實踐,但它們的方法往往缺乏一致性和全面的文檔。開源社群和更廣泛的軟體產業現在面臨著一個共同的挑戰:立法提出了對網路安全流程標準的迫切需求。”
新的合作最初由七個基金會組成,將由Eclipse 基金會在布魯塞爾牽頭,該基金會擁有數百個開放原始碼項目,涵蓋開發人員工具、框架、規格等。基金會的成員包括華為、IBM、微軟、紅帽和甲骨文。