欧盟《网络弹性法》(CRA)影响开源软件发展
欧盟的《网络弹性法》(Cyber ResilienceAct,简称CRA)于2024年正式生效,虽2027年12月才全面实施,但影响已现,开源软件发展面临重大转变。
CRA的目标与覆盖范围
CRA旨在提升全球数字产品网络安全水平,有降低漏洞数量和严重程度、确保产品全生命周期网络安全、让用户依标准选产品三个主要目标。其覆盖欧盟市场商业化销售的含数字元素产品,明确区分制造商和开源软件管理者责任。
CRA给开源软件带来的挑战
一是项目合规成本大增,需组建专业团队、投入资金进行安全审计等。二是安全标准要求高,开源软件安全标准不统一,建立并执行统一标准困难。三是供应链管理挑战大,开源软件供应链复杂,SBOM管理差异大,增加安全风险。
开源项目的应对策略
Linux基金会旗下CIP、Yocto Project和Zephyr Project积极应对。CIP采用工业网络安全标准,构建漏洞报告渠道;YoctoProject有稳定发布周期,生成标准SBOM;Zephyr Project更新频繁,参与安全认证,推动SBOM标准化。
开源社区的集体行动
2024年12月,Linux Foundation Europe和OpenSSF联合举办研讨会,围绕标准制定、提高认知度和开发工具展开,以应对CRA挑战。
CRA带来的机遇与未来展望
CRA虽带来挑战,但也为开源生态发展提供机遇,推动开源项目完善安全机制,加强各方合作。开源软件在法规监管下需调整策略,开源社区要团结协作,推动其向安全、可持续方向发展。
© 版权声明
文章版权归作者所有,未经允许请勿转载。