Закон об открытом исходном коде и киберустойчивости - Несмотря на разные мнения

Акт Европейского союза о киберустойчивости (CRA) вводит новый регуляторный.framework для продуктов с цифровыми элементами, затрагивая разработку программного обеспечения, включая проекты с открытым исходным кодом. Требования CRA будут иметь значительные последствия для проектов с открытым исходным кодом, и необходима проактивная подход для понимания его требований. Для оценки влияния CRA был проведен практический анализ на примере проекта с открытым исходным кодом es6-fuzz, небольшой библиотеки JavaScript. Проект был найден с критическими недостатками безопасности и обслуживания, включая устаревшие зависимости и отсутствие процессов управления безопасностью. У проекта нет политики раскрытия уязвимостей, заявления о поддержке или жизненном цикле обслуживания, и он не соответствует современным стандартам безопасности. Для исправления этих проблем проекту необходимо модернизировать свою платформу, внедрить формальный процесс управления уязвимостями, улучшить документацию и сгенерировать Список материалов программного обеспечения (SBOM). Также будет интегрировано автоматизированное инструментальное обеспечение безопасности для обеспечения постоянной безопасности. Требования CRA могут быть рассмотрены как возможность для проектов с открытым исходным кодом улучшить свою безопасность и соответствовать современным стандартам безопасности. Принимая проактивный подход, проекты с открытым исходным кодом могут научиться навигации в новом регуляторном ландшафте и избежать ненужных рисков.