Loi sur les sources ouvertes et la résilience cyber - Les opinions divergentes mises à part

Le Règlement sur la Résilience aux Cybermenaces (CRA) de l'Union européenne introduira un nouveau cadre réglementaire pour les produits dotés d'éléments numériques, affectant le développement de logiciels, y compris les projets open-source. Les exigences du CRA auront des implications significatives pour les projets open-source, et une approche proactive est nécessaire pour comprendre ses exigences. Pour évaluer l'impact du CRA, une évaluation pratique a été menée sur un projet open-source, es6-fuzz, une petite bibliothèque JavaScript. Le projet a été trouvé avoir des déficiences critiques en matière de sécurité et de maintenance, notamment des dépendances obsolètes et un manque de processus de gestion de la sécurité. Le projet ne dispose pas d'une politique de divulgation de vulnérabilités, d'une déclaration de cycle de vie de maintenance ou de soutien, et ne répond pas aux normes de sécurité modernes. Pour remédier à ces problèmes, le projet doit moderniser sa plateforme, mettre en place un processus de gestion formel des vulnérabilités, améliorer la documentation et générer une Liste de Matériaux Logiciels (SBOM). Des outils de sécurité automatisés seront également intégrés pour garantir des pratiques de sécurité continues. Les exigences du CRA peuvent être considérées comme une opportunité pour les projets open-source d'améliorer leur posture de sécurité et de s'aligner sur les normes de sécurité modernes. En prenant une approche proactive, les projets open-source peuvent apprendre à naviguer dans le nouveau paysage réglementaire et éviter des risques inutiles.