歐洲議會上個月通過《歐洲網絡復原力法案》(CRA),七傢開源基金會正在共同為該法案創建通用規范和標準。Apache軟件基金會、Blender基金會、Eclipse基金會、OpenSSL軟件基金會、PHP基金會、Python軟件基金會和Rust基金會透露,他們打算匯集集體資源,將開源軟件開發中現有的安全最佳實踐連接起來,確保在三年後新法規生效時,備受詬病的軟件供應鏈能夠完成任務。
據估計,當今70% 至 90% 的軟件都是由開源組件組成的,其中許多都是程序員利用自己的時間和資金免費開發的。
近兩年前,《網絡復原力法案》首次以草案形式亮相,旨在為在歐盟范圍內銷售的硬件和軟件產品編纂最佳網絡安全實踐。該法案旨在強制所有聯網產品的制造商及時更新所有最新補丁和安全更新,並對不足之處進行處罰。
這些違規處罰包括最高 1,00 萬歐元的罰款,或全球營業額的 2.5%。
該法案的最初版本引起眾多第三方機構的猛烈抨擊,其中包括十多個開源行業機構,他們去年曾寫過一封公開信,稱該法案可能會對軟件開發產生"寒蟬效應"。投訴的焦點集中在"上遊"開源開發者可能要為下遊產品的安全缺陷承擔責任,從而使志願項目維護者因擔心法律報復而不敢開發關鍵組件(這與上個月通過的歐盟《人工智能法》引起的擔憂類似)。
CRA 法規中的措辭確實為開源領域提供一些保護,因為從技術上講,不關心其作品商業化的開發者可以免責。然而,對於"商業活動"的具體內容,這些措辭還有待解釋--例如,贊助、贈款和其他形式的財政援助算不算?
最終對案文進行一些修改,修訂後的立法通過澄清開放源代碼項目的不適用情況,實質性地解決人們關註的問題。
雖然新法規已經獲得橡皮圖章,但要到 2027 年才會生效,這就給各方時間來滿足要求,並理清對他們的期望的一些更微小的細節。而這正是七傢開放源代碼基金會攜手合作的目的所在。
許多開放源代碼項目的發展方式意味著它們通常隻有零散的文檔(如果有的話),這就很難為審核提供支持,也使下遊制造商和開發人員很難開發自己的 CRA 流程。
許多資源較好的開源計劃已經有像樣的最佳實踐標準,涉及協調漏洞披露和同行評審等方面,但每個實體可能使用不同的方法和術語。通過團結一致,這將在一定程度上有助於把開源軟件開發視為受相同標準和流程約束的單一"事物"。
再加上其他擬議的法規,包括美國的《開源軟件安全法案》,各種基金會和"開源管理者"在軟件供應鏈中的作用顯然將受到更嚴格的審查。
Eclipse 基金會在今天的一篇博文中寫道:"雖然開源社區和基金會普遍遵守並在歷史上建立有關安全的行業最佳實踐,但它們的方法往往缺乏一致性和全面的文檔。開源社區和更廣泛的軟件行業現在面臨著一個共同的挑戰:立法提出對網絡安全流程標準的迫切需求。"
新的合作最初由七個基金會組成,將由 Eclipse 基金會在佈魯塞爾牽頭,該基金會擁有數百個開放源代碼項目,涵蓋開發人員工具、框架、規范等。該基金會的成員包括華為、IBM、微軟、紅帽和甲骨文。