АТЛАНТА – Технологические компании и разработчики наконец осознают, что им придется иметь дело с Законом Европейского Союза (ЕС) о киберустойчивости (CRA). К счастью, как объяснил Грег Кроа-Хартман, сопровождающий стабильной ветки ядра Linux, на KubeCon + CloudNativeCon North America 2025, если вы индивидуальный разработчик с открытым исходным кодом, вам не о чем беспокоиться. Однако другое дело, если ваш код попадает в коммерческие продукты для рынка ЕС.
Понимание Закона ЕС о киберустойчивости (CRA)
Однако прежде чем углубиться в это, давайте кратко вспомним, что такое CRA, поскольку, как отметил Linux Foundation в недавнем опросе, 62% разработчиков и их компаний в значительной степени ничего не знают о CRA. CRA — это всеобъемлющий набор правил, призванный установить единые стандарты кибербезопасности для продуктов с цифровыми элементами, аппаратного обеспечения, программного обеспечения и подключенных к сети устройств, продаваемых или используемых в ЕС.
Закон направлен на значительное повышение кибербезопасности и снижение уязвимостей, одновременно возлагая на производителей, импортеров и дистрибьюторов ответственность за безопасность цифровых продуктов на протяжении всего их жизненного цикла. Это означает весь путь от проектирования и разработки до развертывания и вывода из эксплуатации.
Группы заинтересованных сторон и обязанности CRA
CRA требует, чтобы продукты были безопасными по своей конструкции, регулярно обновлялись, четко раскрывали зависимости программного обеспечения и предоставляли механизмы для безопасных конфигураций по умолчанию. Законодательство направлено на такие проблемы, как недостаточная кибербезопасность и отсутствие своевременных обновлений безопасности, которые сделали цифровые продукты уязвимыми и затрудняющими для пользователей оценку и безопасность.
В рамках CRA существуют три различные группы заинтересованных сторон, каждая из которых имеет уникальные обязанности и уровни нормативных обязательств. Это:
- Производители: Компании или организации, которые разрабатывают, собирают или размещают продукты с цифровыми элементами (аппаратное обеспечение, программное обеспечение или встроенное ПО) на рынке ЕС. Производители несут основную ответственность за соблюдение CRA, включая обеспечение кибербезопасности на протяжении всего жизненного цикла продукта, ведение спецификаций программного обеспечения (SBOM), устранение уязвимостей и обеспечение прозрачности цепочки поставок.
- Стюарды: организации, часто некоммерческие или фонды (такие как Linux Foundation, Apache, Eclipse), которые поддерживают проекты программного обеспечения с открытым исходным кодом, предназначенные для коммерческого использования. У стюардов более легкие обязательства в соответствии с CRA, в основном они сосредоточены на разработке политик кибербезопасности, управлении раскрытием информации об уязвимостях и продвижении лучших практик безопасности в сообществах своих проектов.
- Некоммерческие разработчики: отдельные лица или группы, разрабатывающие программное обеспечение с открытым исходным кодом, не предназначенное для коммерческого использования. Эта группа в значительной степени освобождена от прямых требований CRA, хотя среди участников сохраняется путаница и неуверенность в применимости, что подчеркивает необходимость более четких указаний и разъяснений ролей.
График реализации CRA и рекомендации
Теперь CRA вступил в силу 10 декабря 2024 года, но, как и в случае с любым подобным постановлением, дьявол кроется в деталях. Таким образом, основные обязательства CRA станут обязательными с 11 декабря 2027 года. Европейская комиссия разрабатывает делегированные акты и работает с экспертной группой CRA для детальной реализации и руководства. Кроа-Хартман, входящий в этот комитет, знает, что происходит с CRA, и вот что он сказал.
Положительное влияние CRA на безопасность открытого исходного кода
Он начал с заверения разработчиков, что CRA «не такая уж плохая вещь» и, по сути, представляет собой запоздалое улучшение в практике прозрачности и безопасности открытого исходного кода. Тем не менее, «Закон ЕС о киберустойчивости – это то, что затронет всех здесь, в этом зале, потому что даже если вы не являетесь членом ЕС… другие страны, другие места в мире принимают такие же правила».
Кроме того, под действие CRA подпадает все, что включает в себя код (а это практически все в наши дни) и продается в ЕС. Также не имеет значения, никогда ли вы не покидали Штаты; если ваш код находится в ЕС, ваша программа подпадает под действие NDA.
Звучит пугающе, не так ли? Не паникуйте.
На кого нацелено CRA: коммерческое и некоммерческое использование
Кроа-Хартман подчеркнул, что закон не направлен против любителей, консультантов или кого-либо, кто просто вносит вклад в открытый исходный код. «Если вы вносите свой вклад в проект с открытым исходным кодом, вам не нужно об этом беспокоиться, это не проблема… Некоммерческие продукты для хобби, не в масштабе, вообще не проблема. Не беспокойтесь об этом, пока ваше программное обеспечение не привыкнет». Только те, чья работа включена в коммерческие продукты для ЕС, должны уделять особое внимание соблюдению требований.
Для сопровождающих проектов, работающих под эгидой таких организаций, как Linux Foundation, Mozilla или Apache, Кроа-Хартманн обрисовывает минимальные, но ясные обязанности: «Как управляющему, это все, что вам нужно сделать: предоставить контакт кому-нибудь, чтобы рассказать вам об обнаруженных проблемах безопасности, а затем, когда вы устраните проблему безопасности, сообщите об этом кому-нибудь.
Вот и все. Это все, что вам нужно сделать… Если вы действительно используете какую-то инфраструктуру и у вас есть проблемы с безопасностью вашей инфраструктуры, вы также должны сообщить об этом. Вот и все. Ничего особенного, и это все, что вам нужно сделать».
Сопротивление нарушению требований производителя
Кроа-Харман призывает проекты с открытым исходным кодом противостоять попыткам производителей переложить требования соответствия на сопровождающих. «Если производители приходят к вам и говорят: вот большой контрольный список того, что мы хотим, чтобы вы сделали, сопротивляйтесь».
Это реальная проблема. Emerson Electric уже пыталась заставить проекты с открытым исходным кодом выполнять за них юридическую работу. В августе они потребовали от проекта Debian Linux предоставить им информацию о debianutils.
Не бойтесь CRA: поднимаем планку безопасности программного обеспечения
Однако он предупреждает: «Будет еще хуже, потому что для компаний скоро наступит крайний срок CRA. С открытым исходным кодом нам пока не о чем беспокоиться. Производители начнут по-настоящему беспокоиться в сентябре следующего года. Летом следующего года они начнут паниковать, и дела начнут бить по фанатам».
На такое требование Кроа-Хартман ответил: «Вы не обязаны делать это. Они пытаются заставить вас делать за них вашу работу. Будет еще хуже. Компании преследуют вас. Я напишу небольшое типовое письмо и скажу: «Вот то, что вам нужно».
Кроа-Хартман объяснил, что Фонд безопасности открытого исходного кода (OpenSSF) работает, чтобы помочь сообществу открытого исходного кода ориентироваться и следовать CRA. OpenSSF также сотрудничает в разработке технических спецификаций, разработке руководств и обучения, а также создании структур, таких как OSPS Baseline, для обеспечения повышения безопасности при сохранении совместной природы открытого исходного кода. В конце концов, у OpenSSF появится типовое письмо, в котором можно будет ответить им и сказать: «Нет, делайте свою работу сами. Мы не несем той ответственности, которую они несут».
Кроа-Хартман продолжил: «Нам не придется ничего делать в качестве управляющих открытым исходным кодом или участников еще целый год. Мы не несем ответственности ни за что; это единственный момент времени, когда мы должны поставить фразу «прочитайте меня в файле и скажите: вот как вы с нами можете связаться». Однако он также отметил, что предприятия, волнующиеся по поводу OpenSSF, могут оказаться прибыльными для проектов с открытым исходным кодом. Дэниел Стенберг, сопровождающий cURL, например, уже предлагает коммерческую поддержку поддержки cURL CRA.
Мораль его истории: «Не бойтесь. С этим законом все в порядке». CRA поднимет планку безопасности коммерческого программного обеспечения, но разработчики и сопровождающие ПО с открытым исходным кодом, обладающие передовой практикой, уже находятся на пути к соблюдению требований.
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Стивен Дж. Воан-Николс, он же sjvn, писал о технологиях и технологическом бизнесе с тех пор, как CP/M-80 была новейшей операционной системой для ПК, скорость 300 бит/с — высокоскоростное подключение к Интернету, WordStar — современный текстовый процессор, и он нам понравился. Узнайте больше от Стивена Дж. Воана-Николса.
