網路議題

歐盟《網路安全韌性法》開源基金會聯合制定共同標準

歐盟的網路安全韌性法推動開源基金會達成共識作者:Paul Sawers | 發布時間:8 小時前介紹歐洲議會上個月透過了《網路安全韌性法(CRA)》,成為歐盟境內的法例。當前七個開源基金會正聯合起來制定歐洲網路韌性法的共同規範和標準,這些基金會包括 Apache Software Foundatio .... (往下繼續閱讀)

分享到 Facebook 分享到 Line 分享到 Twitter

文章目錄

歐盟《網路安全韌性法》開源基金會聯合制定共同標準

歐盟的網路安全韌性法推動開源基金會達成共識

作者:Paul Sawers | 發布時間:8 小時前

介紹

歐洲議會上個月透過了《網路安全韌性法(CRA)》,成為歐盟境內的法例。當前七個開源基金會正聯合起來制定歐洲網路韌性法的共同規範和標準,這些基金會包括 Apache Software Foundation、Blender Foundation、Eclipse Foundation、OpenSSL Software Foundation、PHP Foundation、Python Software Foundation 和 Rust Foundation。他們計劃整合各自的資源,並在現有開源軟體開發的安全最佳實踐之間建立存取,確保備受爭議的軟體供應鏈能夠應對新法律在未來三年生效的挑戰。

背景

當前估計 70%至 90%的軟體是由開源元件構建的,其中許多是由志願者無償開發的。《網路安全韌性法》旨在對歐盟境內銷售的任何網際網路產品的硬體和軟體產品確保最佳網路安全實踐,強制要求所有製造商保持最新的補丁和安全更新,並對不達標準的公司施以罰款,罰款金額最高可達 1,500 萬歐元或全球營收的 2.5%。

然而初始版本的法規引起了眾多第三方機構的激烈批評,包括去年表示該法案可能對軟體開發產生“冷凍效應”的十多個開源行業機構,抱怨內容主要圍繞“上遊”開源開發者可能會對下遊產品的安全缺陷負責的問題。

立場

新修訂的法例已獲透過,但要到 2027 年才生效,這給了所有利益相關者時間來滿足要求,解決一些細節問題。七個開源基金會的目標就是解決這些問題之一——檔案。許多開源專案的演變方式意味著它們的檔案雜亂不堪,這使得支援審計變得困難,同時使得下遊製造商和開發者難以制定自己的 CRA 流程。

意見

一些開源專案已經制定了與協調漏洞披露和同行評審等方面相關的最佳實踐標準,但每個實體可能使用不同的方法和術語。透過匯聚七個基金會的力量,這將有助於將開源軟體開發視為一個受相同標準和流程約束的整體。值得注意的是,其他提議的法規,包括美國的“保障開源軟體法案”,表明各個基金會和“開源保護者”將受到更大的關注,因為他們在軟體供應鏈中的作用變得更加重要。

總結

這個新的合作活動將由 Eclipse Foundation 在布魯塞爾發起,在 Eclipse Foundation 中有來自華為、IBM、微軟、紅帽和甲骨文等公司成員。這些公司將共同努力,制定共同的網路安全程式標準,以應對歐盟《網路安全韌性法》的挑戰。

Cybersecurity-歐盟,網路安全,韌性法,開源基金會,共同標準
江塵

江塵

Reporter

大家好!我是江塵,一名熱愛科技的發展和創新,我一直都保持著濃厚的興趣和追求。在這個瞬息萬變的數位時代,科技已經深入到我們生活的方方面面,影響著我們的工作、學習和娛樂方式。因此,我希望透過我的部落格,與大家分享最新的科技資訊、趨勢和創新應用。