《网络弹性法》CRA对开源软件的影响及应对策略

欧盟《网络弹性法》（CRA）影响开源软件发展

欧盟的《网络弹性法》（Cyber ResilienceAct，简称CRA）于2024年正式生效，虽2027年12月才全面实施，但影响已现，开源软件发展面临重大转变。

CRA的目标与覆盖范围

CRA旨在提升全球数字产品网络安全水平，有降低漏洞数量和严重程度、确保产品全生命周期网络安全、让用户依标准选产品三个主要目标。其覆盖欧盟市场商业化销售的含数字元素产品，明确区分制造商和开源软件管理者责任。

CRA给开源软件带来的挑战

一是项目合规成本大增，需组建专业团队、投入资金进行安全审计等。二是安全标准要求高，开源软件安全标准不统一，建立并执行统一标准困难。三是供应链管理挑战大，开源软件供应链复杂，SBOM管理差异大，增加安全风险。

开源项目的应对策略

Linux基金会旗下CIP、Yocto Project和Zephyr Project积极应对。CIP采用工业网络安全标准，构建漏洞报告渠道；YoctoProject有稳定发布周期，生成标准SBOM；Zephyr Project更新频繁，参与安全认证，推动SBOM标准化。

开源社区的集体行动

2024年12月，Linux Foundation Europe和OpenSSF联合举办研讨会，围绕标准制定、提高认知度和开发工具展开，以应对CRA挑战。

CRA带来的机遇与未来展望

CRA虽带来挑战，但也为开源生态发展提供机遇，推动开源项目完善安全机制，加强各方合作。开源软件在法规监管下需调整策略，开源社区要团结协作，推动其向安全、可持续方向发展。