歐盟的網路安全韌性法推動開源基金會達成共識
作者:Paul Sawers | 發布時間:8 小時前
介紹
歐洲議會上個月透過了《網路安全韌性法(CRA)》,成為歐盟境內的法例。當前七個開源基金會正聯合起來制定歐洲網路韌性法的共同規範和標準,這些基金會包括 Apache Software Foundation、Blender Foundation、Eclipse Foundation、OpenSSL Software Foundation、PHP Foundation、Python Software Foundation 和 Rust Foundation。他們計劃整合各自的資源,並在現有開源軟體開發的安全最佳實踐之間建立存取,確保備受爭議的軟體供應鏈能夠應對新法律在未來三年生效的挑戰。
背景
當前估計 70%至 90%的軟體是由開源元件構建的,其中許多是由志願者無償開發的。《網路安全韌性法》旨在對歐盟境內銷售的任何網際網路產品的硬體和軟體產品確保最佳網路安全實踐,強制要求所有製造商保持最新的補丁和安全更新,並對不達標準的公司施以罰款,罰款金額最高可達 1,500 萬歐元或全球營收的 2.5%。
然而初始版本的法規引起了眾多第三方機構的激烈批評,包括去年表示該法案可能對軟體開發產生“冷凍效應”的十多個開源行業機構,抱怨內容主要圍繞“上遊”開源開發者可能會對下遊產品的安全缺陷負責的問題。
立場
新修訂的法例已獲透過,但要到 2027 年才生效,這給了所有利益相關者時間來滿足要求,解決一些細節問題。七個開源基金會的目標就是解決這些問題之一——檔案。許多開源專案的演變方式意味著它們的檔案雜亂不堪,這使得支援審計變得困難,同時使得下遊製造商和開發者難以制定自己的 CRA 流程。
意見
一些開源專案已經制定了與協調漏洞披露和同行評審等方面相關的最佳實踐標準,但每個實體可能使用不同的方法和術語。透過匯聚七個基金會的力量,這將有助於將開源軟體開發視為一個受相同標準和流程約束的整體。值得注意的是,其他提議的法規,包括美國的“保障開源軟體法案”,表明各個基金會和“開源保護者”將受到更大的關注,因為他們在軟體供應鏈中的作用變得更加重要。
總結
這個新的合作活動將由 Eclipse Foundation 在布魯塞爾發起,在 Eclipse Foundation 中有來自華為、IBM、微軟、紅帽和甲骨文等公司成員。這些公司將共同努力,制定共同的網路安全程式標準,以應對歐盟《網路安全韌性法》的挑戰。
延伸閱讀
- 美國聯合健康集團 CEO 表示:“也許三分之一的美國公民受到最近的駭客攻擊影響”
- 歐盟監管機構質疑立法者打破加密掃描兒童色情影象的提案的保密性
- Meta 在歐盟調查 Facebook 和 Instagram 的背景下應對選舉安全
- 《全新樂章!Epic Games 宣布將 Fortnite 引進 iPad,歐盟將 iPadOS 列為《數位市場法》下的「守門人」》
- 蘋果的 iPadOS 也將須遵守歐盟的《數位市場法案》
- ChatGPT 在歐盟再次遭遇隱私投訴,「幻覺」問題再起風波
- 歐盟即將對 Shein 實施最嚴格的線上市場規定
- 歐盟對 Meta 監視廣告模式實施更嚴格管制
- TikTok 因擔心成癮問題從歐盟 Lite 應用程式中移除功能
- Mozilla 發現大多數約會應用並不善於保護使用者資料