Что должно быть из программного обеспечения с открытым исходным кодом с предстоящими требованиями, которые поставляются с Законом о кибер -устойчивости, теперь находятся в обсуждении в Европейском Союзе?
На саммите с открытым исходным кодом в Европе мы встретились с Кристофером «Кроб» Робинсоном, главным архитектором безопасности в Фонде безопасности с открытым исходным кодом, чтобы обсудить последствия CRA.
Подумайте об этом с точки зрения разработки программного обеспечения. Это часто начинается с разработчика, у которого проблемы с конкретным программным обеспечением. Они понимают, что у других разработчиков могут быть похожие проблемы. Они пишут утилиту или структуру для решения этой проблемы. И ура, они получают признание. Затем, например, утилита с открытым исходным кодом замечен автомобильные компании, производители турбин, вы называете это. Они устанавливают его.
«Я читал, что от 80% до 97% коммерческих предложений содержат значительное количество программного обеспечения с открытым исходным кодом», — сказал Робинсон в нашем интервью с конференции в Амстердаме.
Тем не менее, разработчика часто оставляют поддерживать проект в одиночку. Проект набирает обороты и начинает получать популярность. Робинсон сказал, что проект с открытым исходным кодом в среднем имеет 160 зависимостей.
В то же время, разработчик создал проект с многочисленными зависимостями, в среднем около 160 лет. И этот сопровождающий все еще работает в одиночку. Даниэль Стенберг, который руководит проектом Curl, выступил на саммите с открытым исходным кодом и пошутил, что он может получить некоторое время для создания функций, но остальная часть работы управляет общим проектом. Стенберг показал этот слайд, чтобы проиллюстрировать работу, которую он должен сделать:
Теперь большинство разработчиков с открытым исходным кодом понятия не имеют, как люди используют свое программное обеспечение. Тем не менее, компании, которые используют программное обеспечение с открытым исходным кодом, имеют строгие требования к таким вопросам, как отчетность по уязвимости.
«Так что Даниэль отметил в своем основном доме, так это постоянное давление, запросы и требования от нисходящего, с которым он не имеет отношения», — сказал Робинсон. «Он продемонстрировал письма от коммерческих юристов или различных правительственных учреждений, требуя, чтобы он предоставил им свой счет за программное обеспечение (SBOM), дайте мне свой SBOM. Оставьте мне оценку соответствия на рынке. И это не обязательно роль этих инженеров вверх по течению».
Эти компании с широким использованием программного обеспечения с открытым исходным кодом продают клиентам в разных геополитических регионах. Соединенные Штаты, Европейский Союз, Китай, Индия — все они институт законодательны для защиты своих граждан. За последние несколько лет Европейский союз работал над CRA, сосредоточившись на защите своих граждан от инцидентов кибербезопасности. Они хотят гарантировать, что их граждане не подвергаются нападению из -за серьезных уязвимостей, таких как Log4shell или XZ Utilities Backdoor.
CRA вступит в силу в октябре следующего года. Для коммерческого предприятия существуют довольно обременительные требования, а также значительные последствия, такие как штрафы и штрафы по порядку миллиардов евро, если они находят небрежных или вредных клиентов в ЕС.
Что это значит для поставщиков программного обеспечения, для фондов? Узнайте больше в этом эпизоде новых агентов стека.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Алекс Уильямс является основателем и издателем нового стека. Он давний технологический журналист, который занимался TechCrunch, Siliconangle и тем, что сейчас известно как ReadWrite. Алекс был журналистом с конца 1980 -х годов, начиная с … Подробнее от Алекса Уильямса
