欧洲议会上个月通过了《欧洲网络复原力法案》(CRA),七家开源基金会正在共同为该法案创建通用规范和标准。Apache 软件基金会、Blender 基金会、Eclipse 基金会、OpenSSL软件基金会、PHP 基金会、Python 软件基金会和Rust 基金会透露,他们打算汇集集体资源,将开源软件开发中现有的安全最佳实践连接起来,确保在三年后新法规生效时,备受诟病的软件供应链能够完成任务。
据估计,当今70% 至 90% 的软件都是由开源组件组成的,其中许多都是程序员利用自己的时间和资金免费开发的。
近两年前,《网络复原力法案》首次以草案形式亮相,旨在为在欧盟范围内销售的硬件和软件产品编纂最佳网络安全实践。该法案旨在强制所有联网产品的制造商及时更新所有最新补丁和安全更新,并对不足之处进行处罚。
这些违规处罚包括最高 1,00 万欧元的罚款,或全球营业额的 2.5%。
该法案的最初版本引起了众多第三方机构的猛烈抨击,其中包括十多个开源行业机构,他们去年曾写过一封公开信,称该法案可能会对软件开发产生"寒蝉效应"。投诉的焦点集中在"上游"开源开发者可能要为下游产品的安全缺陷承担责任,从而使志愿项目维护者因担心法律报复而不敢开发关键组件(这与上个月通过的欧盟《人工智能法》引起的担忧类似)。
CRA 法规中的措辞确实为开源领域提供了一些保护,因为从技术上讲,不关心其作品商业化的开发者可以免责。然而,对于"商业活动"的具体内容,这些措辞还有待解释--例如,赞助、赠款和其他形式的财政援助算不算?
最终对案文进行了一些修改,修订后的立法通过澄清开放源代码项目的不适用情况,实质性地解决了人们关注的问题。
虽然新法规已经获得橡皮图章,但要到 2027 年才会生效,这就给了各方时间来满足要求,并理清对他们的期望的一些更微小的细节。而这正是七家开放源代码基金会携手合作的目的所在。
许多开放源代码项目的发展方式意味着它们通常只有零散的文档(如果有的话),这就很难为审核提供支持,也使下游制造商和开发人员很难开发自己的 CRA 流程。
许多资源较好的开源计划已经有了像样的最佳实践标准,涉及协调漏洞披露和同行评审等方面,但每个实体可能使用不同的方法和术语。通过团结一致,这将在一定程度上有助于把开源软件开发视为受相同标准和流程约束的单一"事物"。
再加上其他拟议的法规,包括美国的《开源软件安全法案》,各种基金会和"开源管理者"在软件供应链中的作用显然将受到更严格的审查。
Eclipse 基金会在今天的一篇博文中写道:"虽然开源社区和基金会普遍遵守并在历史上建立了有关安全的行业最佳实践,但它们的方法往往缺乏一致性和全面的文档。开源社区和更广泛的软件行业现在面临着一个共同的挑战:立法提出了对网络安全流程标准的迫切需求。"
新的合作最初由七个基金会组成,将由 Eclipse 基金会在布鲁塞尔牵头,该基金会拥有数百个开放源代码项目,涵盖开发人员工具、框架、规范等。该基金会的成员包括华为、IBM、微软、红帽和甲骨文。