请发表您对在欧盟保护开源的看法
GitHub与开源软件社区合作,努力支持欧盟政策制定者制定《网络弹性法案》(CRA)。CRA旨在通过对在单一市场供应产品的供应商施加严格的要求,改善欧盟范围内数字产品(包括96%的开源产品)的网络安全。这将导致最高1,500万欧元的罚款,相当于其全球收入的2.5%。收益。这个目标是受欢迎的。在运输产品时,安全性通常是事后才想到的。但正如所写的那样,它威胁着开源,而没有增强其弹性。
作为欧盟长期“开放”战略的一部分,CRA豁免在商业活动过程之外开发或提供的开源软件,但在定义范围方面存在挑战。正成为社区活动的焦点。在定于7月19日由行业委员会(ITRE)投票的议会文件中,他还有三个主要问题。下面讨论这三个问题。在没有人反对的情况下,这可以成为最后意见,而无需进一步审议或在全体会议上进行全体表决。强烈推荐今天与你选出的代表分享你的想法。
问题1:CRA管理接受捐赠的开源项目
开源的可持续性是个问题。流行软件项目的维护者经常因为问题和pull请求而不堪重负,变得精疲力竭。捐赠已成为解决方案之一,并定期提供。政府,基金会,公司和个人。然而,正如CRA最近的一份摘录草案(下面引用的序言10b)所示,如果一个维护者选择接受捐赠,它可能会引入繁重的合规制度和潜在的惩罚,从而破坏可持续性。因此,流向已经预留资源的维护者的资源就会减少。
问题2:CRA规范企业开发人员的开源项目
开源项目通常是多方参与的。捐款来自于以个人身份工作的开发人员、为基金会做志愿者的开发人员以及为大大小小的公司工作的开发人员。当前的文本(序言10和10a)将规范开源项目,除非它们具有“完全分散的开发模式”。公司员工有权参与的项目必须遵守CRA的义务。这与开源双方的利益背道而驰。项目可能会禁止公司的维护者和贡献者,公司可能会禁止员工为开源做出贡献。其结果是缺乏创新性和安全性的软件生态系统。
问题3:CRA挫败了协调漏洞披露
CRA旨在解决一个常见的问题,即上游开源项目发布了安全修复程序,但使用该开源项目的产品没有立即升级。然而,当前的议会文件(第11条)通过要求软件开发人员(“制造商”)在发现漏洞后数小时内向ENISA报告所有被积极利用的漏洞,促进了漏洞的协调披露。破裂的风险。在未修补漏洞的情况下,这种方法将违反既定的策略,该策略将只披露那些有助于修复安全漏洞的信息。广泛披露未修补的漏洞不会使开源生态系统更具弹性,只会使其更加危险。
在……的过程中通过尽职调查,如果产品制造商发现其任何组件(包括免费和开源组件)中的漏洞,则必须通知开发人员该组合在适用的情况下,解决和补救漏洞。为开发人员提供应用的安全修复程序。o一种产品一旦投放市场,制造商就必须承担责任确保在整个支持生命周期(包括免费和开源组合)中解决漏洞的能力将数字元素集成到产品中。
第2(3a)条本规例适用于免费及开放源码软件只有在商业活动过程中在市场上可用时才可。
有限公司国会ITRE委员会关于脆弱性披露的草案
第3(39)条“主动利用漏洞”系指有可信证据表明攻击者在未经系统所有者授权的情况下对系统执行恶意代码的漏洞。我的意思是
第11(1)条制造商应根据本条第1a段的规定,将其含有数字元素的产品中被积极利用的漏洞通知ENISA。除非存在与网络安全风险相关的正当理由,否则ENISA将在收到通知后,立即采取措施根据相关成员国指令(EU) 2022/2555第12条,联系为协调漏洞披露而指定的CSIRT。转发通知并通知市场监督当局已通知的漏洞。如果通知的漏洞无法修复或缓解,ENISA应确保信息a关于被通知的漏洞的信息在知识库上共享Sed基础按照严格的安全协议。
第11(1a)(1)条所提述的通知须遵从下列程序:
(a)在任何情况下,在制造商意识到存在被积极利用的漏洞后24小时内,不得无故拖延,包括是否有已知的修复或建议的缓解措施;早期预警。
(b)漏洞通知,不得无故拖延,无论如何应在制造商发现被积极利用的漏洞后72小时内通知;更新(a)点所述的一般信息,包括纠正或缓解,如果适用的话。表明已采取的行动和对脆弱性程度的评估,包括其严重程度和影响。
(c)在一(1)个月内提交最后报告在提交第(b)项下的漏洞通知后,或如果有修复或缓解措施,则至少包括以下内容:
(i) a des漏洞的描述,包括严重程度和影响;
(ii)信息关于利用或正在利用该漏洞的攻击者,如果有的话;
(iii)为纠正漏洞而提供的安全更新或其他补救措施的详细信息;
第11(1b)条在安全更新可用或引入其他形式的补救或缓解措施后,ENISA应根据指令(EU)第12条第1段宣布通报的漏洞。应添加到欧洲脆弱性数据库如第3条所述。2022/2555。
符合微型、小型和中型企业资格的制造商应免除第1a(a)和2b(a)条的规定。
https://github.blog/2023-07-12-no-cyber-resilience-without-open-source-sustainability/没有开源的可持续性就没有网络弹性
本文来自作者[晓荷]投稿,不代表吴茳号立场,如若转载,请注明出处:https://520xc.com/wiki/202508-3396.html
评论列表(4条)
我是吴茳号的签约作者“晓荷”!
希望本篇文章《缺乏开源可持续性,网络弹性无从谈起》能对你有所帮助!
本站[吴茳号]内容主要涵盖:国足,欧洲杯,世界杯,篮球,欧冠,亚冠,英超,足球,综合体育
本文概览: 请发表您对在欧盟保护开源的看法 GitHub与开源软件社区合作,努力支持欧盟政策制定者制定《网络弹性法案》(CRA)。CRA旨在通过对...