歐盟的網路安全韌性法推動開源基金會達成共識
作者:Paul Sawers | 發布時間:8 小時前
介紹
歐洲議會上個月透過了《網路安全韌性法(CRA)》,成為歐盟境內的法例。當前七個開源基金會正聯合起來制定歐洲網路韌性法的共同規範和標準,這些基金會包括 Apache Software Foundation、Blender Foundation、Eclipse Foundation、OpenSSL Software Foundation、PHP Foundation、Python Software Foundation 和 Rust Foundation。他們計劃整合各自的資源,並在現有開源軟體開發的安全最佳實踐之間建立存取,確保備受爭議的軟體供應鏈能夠應對新法律在未來三年生效的挑戰。
背景
當前估計 70%至 90%的軟體是由開源元件構建的,其中許多是由志願者無償開發的。《網路安全韌性法》旨在對歐盟境內銷售的任何網際網路產品的硬體和軟體產品確保最佳網路安全實踐,強制要求所有製造商保持最新的補丁和安全更新,並對不達標準的公司施以罰款,罰款金額最高可達 1,500 萬歐元或全球營收的 2.5%。
然而初始版本的法規引起了眾多第三方機構的激烈批評,包括去年表示該法案可能對軟體開發產生“冷凍效應”的十多個開源行業機構,抱怨內容主要圍繞“上遊”開源開發者可能會對下遊產品的安全缺陷負責的問題。
立場
新修訂的法例已獲透過,但要到 2027 年才生效,這給了所有利益相關者時間來滿足要求,解決一些細節問題。七個開源基金會的目標就是解決這些問題之一——檔案。許多開源專案的演變方式意味著它們的檔案雜亂不堪,這使得支援審計變得困難,同時使得下遊製造商和開發者難以制定自己的 CRA 流程。
意見
一些開源專案已經制定了與協調漏洞披露和同行評審等方面相關的最佳實踐標準,但每個實體可能使用不同的方法和術語。透過匯聚七個基金會的力量,這將有助於將開源軟體開發視為一個受相同標準和流程約束的整體。值得注意的是,其他提議的法規,包括美國的“保障開源軟體法案”,表明各個基金會和“開源保護者”將受到更大的關注,因為他們在軟體供應鏈中的作用變得更加重要。
總結
這個新的合作活動將由 Eclipse Foundation 在布魯塞爾發起,在 Eclipse Foundation 中有來自華為、IBM、微軟、紅帽和甲骨文等公司成員。這些公司將共同努力,制定共同的網路安全程式標準,以應對歐盟《網路安全韌性法》的挑戰。
延伸閱讀
- 14 位總檢察長聯手起訴 TikTok,指控其損害兒童心理健康!
- 駭客入侵 MoneyGram 攻擊客戶個資與交易資料大泄露!
- 30 年前的網路後門法復甦,科技介面臨重大挑戰!
- 蘋果修復 macOS Sequoia 漏洞,挽救關鍵網路安全工具!
- 美國水務公司警告:遭駭客入侵,將影響帳單系統執行!
- 「康卡斯特客戶資料遭勒索攻擊曝光,資料安全再掀波瀾!」
- Wiz 執行長 Assaf Rappaport 將現身 TechCrunch Disrupt 2024,帶你領略雲端安全的未來!
- CISA 釋出警告:Ivanti 又遭遇活躍攻擊的漏洞威脅!
- 歐盟 DSA 執法者加大力度:Snapchat、TikTok 與 YouTube 面臨 AI 風險的檢視!
- 揭開「連環駭客」的真面目:FBI 與 Mandiant 如何揭穿他假死的陰謀!