4月2日,七大开源基金会公开表示,将会联合为欧洲议会上个月通过的《网络弹性法案》(Cyber Resilience Act,以下简称“CRA”)制定通用规范和标准,以确保确保CRA正式实行后可以适应法案。
主要内容
本次联合的牵头者Eclipse基金会发布称,七大基金会将会整合它们的集体资源,结合自身在开源软件中的有效经验,制定出一套符合欧盟CRA的共同标准框架。
据悉,本次合作是为了解决开源生态系统中网络安全层次面临的多方面挑战,并向欧盟表明七大基金会对CRA合作的态度与承诺,以确保2027年CRA正式实行后七大基金会可以适应这项法律。
此次联合的参与方有Apache软件基金会、Blender 基金会、Eclipse基金会、OpenSSL软件基金会、PHP基金会、Python软件基金会和Rust基金会。
前景展望
2022年9月15日,欧盟委员会发布了CRA草案。CRA草案引起了包括十多个开源行业机构在内的众多第三方机构的猛烈抨击,这些机构于2023年公开了一封公开信,称该法案可能会对软件开发产生“寒蝉效应”。他们的焦点集中于上游开源开发者可能要为下游产品的安全缺陷承担责任,这项条款使志愿的开源项目维护者因担心法律责任而不敢开发关键组件。
2024年3月12日,欧洲议会批准的CRA最终对案文进行了一些修改,修订后的立法通过澄清开放源代码项目的不适用情况,并为所谓的“开源管理者”划分了特定角色,这实质性地解决了人们关注的问题。
CRA需要到2027年才会生效,这就给了各方时间来满足法律要求并梳理实行过程中的各种细节,而这正是七家开源基金会携手合作的目的所在。
来源|Digital Market Reports官网
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。