АМСТЕРДАМ. Если ваша организация генерирует доход от программного обеспечения с открытым исходным кодом, прямо или косвенно, вы должны, по крайней мере, знать о предстоящих последствиях Закона о кибер -устойчивости (CRA).
В то время как CRA вступает в силу в 2027 году, многие организации не понимают, что сроки подготовки измеряются в течение нескольких месяцев. Это относится как к законодательству, которое продолжает быть четко подчеркнутым — добавляя путаницу — и к знанию, как подготовиться к тому, когда это вступает в силу.
Перед тем, как вступить в обновленную информацию о CRA, то, что вы можете сделать сейчас, — это подготовка через различные доступные программы. Если кто -то говорит, что он может взимать плату, чтобы обеспечить соответствие, и вы платите за это, он не говорит правду, потому что никто точно не знает, что вы должны сделать, чтобы соответствовать CRA, поскольку это не было завершено.
Нет известных уязвимостей
CRA требует «не известных уязвимостей» в то время, когда «продукт с цифровыми элементами» «размещен на рынке». Это означает, что в первый раз, когда продукт продается в ЕС, он должен был быть проверен и отсканирован, чтобы не иметь нынешних уязвимостей, OpenSSF Главный архитектор безопасности Кристофер Робинсон сказал мне во время Summit Europe с открытым исходным кодом здесь, в Амстердаме.
Когда продукт отправляется, поставщики и создатели должны раскрывать уязвимости, которые активно эксплуатируются, или если у них инцидент с кибербезопасностью, который прерывает обслуживание или может пропустить уязвимости. По словам Робинсона, поставщик — или «производитель» на языке Европейской комиссии, ссылаясь и на поставщиков программного обеспечения — должен иметь процесс для предоставления обновлений безопасности «своевременно» для традиционных уязвимостей, но никаких точных сроков не определяется для этих «регулярных» уязвимостей.
Хотя общее описание мандата может показаться простым, оно не менее, особенно учитывая, что мандат еще не завершен. В то время как OpenSSF является одной из сторон, участвующих в помощи в формировании мандата, предоставляя техническое и другое руководство, что именно он будет охватывать, и как остается работой. Робинсон описал свои текущие 90 страниц текста как «90 страниц нюанса».
Идея исправления и отчетности каждой отдельной уязвимости в открытом исходном коде, конечно, была бы абсурдной. Но для обнаруженной уязвимости, которую злоумышленник может теоретически использовать, соблюдение, теоретически, все еще потребуется в соответствии с мандатом CRA. Отчет должен быть выпущен, и его необходимо исправить.
Опять же, хотя мандат еще не завершен, соответствие может быть не таким обременительным, как многие боятся. Только те уязвимости, которые известны, должны быть исправлены, приоритеты, основываясь на том, насколько легко их можно использовать и насколько они сильны, как это уже сейчас. «Требования разумны. Промышленность и открытый исходный код не просят исправить все, и это понятно», — сказал мне Тимо Перала, руководитель отдела программного обеспечения и интернет -стандартизации в Nokia Networks, во время OSS Europe. «На данный момент это не очень детальное, но основное внимание уделяется самым серьезным и самым разрушительным проблемам, работающим через список оттуда».
После описания того, что поставлено на карту во время его разговора в Осс, «где мы находимся через шесть месяцев после его одобрения», Перала сказал мне, что двусмысленность все еще остается в последствиях мандата, в соответствии с тем, что описал Робинсон. «Это все еще не количественно, потому что как вы определяете, где находятся пределы? Выше этого порога, все немедленно; ниже, не так срочно», — сказал Перала. «Ниже, может быть, иногда. На этом уровне это понимание существует, но затем инженеры, конечно, хотят количественные меры».
Ключевой термин был «монетизирован». В целом, мандат исключает сопровождающих с открытым исходным кодом, если не участвует прибыль. Применяется очень конкретная фраза: продажа договора поддержки. Между тем, вверх по течению открытый исходный код широко исключен.
Гипотетический пример иллюстрирует влияние: организация, производитель или организация, продавая продукт с цифровыми элементами на европейском рынке, описал Робинсон. В этом случае автомобильная компания. Это также может быть игрушка, маршрутизатор Wi-Fi или переключатель. Продукт, включая все компоненты внутри — оборудование, прошивка и программное обеспечение — считается обязанностью поставщика. По словам Робинсона, лицо, проектирующее и использование открытого исходного кода для проекта, в то время как добавление конкретного кода для маршрутизатора также будет нести ответственность.
Бесплатный класс
Чтобы помочь сообществу с открытым исходным кодом адаптироваться, Foundation Linux и OpenSSF создали бесплатный класс на CRA. Курс охватывает соблюдателей вверх по течению, стюардов с открытым исходным кодом и производителей. Класс длится 90 минут и дает обзор того, что влечет за собой закон. Дополнительные ресурсы доступны через репозиторий GitHub и другие источники.
OpenSSF служит экспертом по вопросам безопасности для Фонда Linux. С 30 фондами под его зонтиком OpenSSF играет центральную роль. OpenSSSF также поддерживает выделенный веб -сайт CRA, который планирует расширяться, чтобы охватить NIST 2, Закон о цифровой оперативной устойчивости (DORA) и другие режимы соответствия в Европейском Союзе и на международном уровне.
Руководство будет предоставлено членам и другим фондам после того, как будут доступны стандарты. По словам Робинсона, коммерческие услуги могут появиться, но любые претензии по гарантированному соответствию являются преждевременными, поскольку никто в настоящее время не знает определенных требований. Окончательное одобрение Европейского парламента и комиссии не будет происходить до октября 2027 года, за два месяца до принуждения.
«Ожидается, что общее влияние замедлит европейский прогресс, но для тех, кто продает на международном уровне, правила представляют собой как задачу, так и значительную рыночную возможность», — сказал Робинсон. «Соответствие будет обязательным для доступа к рынку».
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. BC Gain является основателем и главным аналитиком Revecom Media. Его одержимость компьютерами началась, когда он взломал консоль космических захватчиков, чтобы играть весь день за 25 центов в местной видеокаде в начале 1980 -х годов. Затем он … читайте больше от B. Cameron Gain
