По мере приближения срока реализации Закона ЕС о киберустойчивости (CRA) производители программного обеспечения в различных отраслях начинают понимать его обширные последствия для безопасности и соответствия программному обеспечению, которые теперь неотделимы от инноваций.
В Red Hat мы находимся на уникальном перекрестке. Мы являемся производителем, поставляющим корпоративные решения с открытым исходным кодом, но мы также являемся потенциальным управляющим программным обеспечением с открытым исходным кодом. Эта двойная роль означает, что мы полностью поддерживаем регулирование, которое помогает укрепить организационную кибербезопасность как на верхнем, так и на нижнем уровне. В то же время мы также хотим добиться международного согласования стандартов и правил, которые будут способствовать дальнейшей поддержке, а не подавлению глобальных экосистем с открытым исходным кодом, от которых зависят современные ИТ.
Сделать CRA действенным
Red Hat начала подготовку к CRA еще до его создания благодаря участию в политике на местах и сотрудничеству с Европейской комиссией. Мы осознали, что соответствие будет достигнуто не с помощью единого контрольного списка, а с помощью культуры безопасных методов разработки, встроенной во все, что мы делаем.
С этой целью мы создали комплексную внутреннюю программу CRA, охватывающую восемь направлений работы, охватывающих осведомленность и внутреннюю/внешнюю связь для управления уязвимостями, реагирования на инциденты, оценки соответствия и юридической проверки. Эта структура отражает нашу давнюю приверженность созданию программного обеспечения с повышенным уровнем безопасности по умолчанию. Несмотря на то, что Red Hat уже следует принципам проектной безопасности, CRA потребовал тщательного анализа существующих процессов для подтверждения их полного соответствия. Теперь CRA дает нам возможность формализовать и распространить эти усилия на весь жизненный цикл нашего продукта.
Мы уверены, что такой подход не только обеспечит соответствие Red Hat требованиям CRA, но и поможет более широкой экосистеме открытого исходного кода адаптироваться к требованиям Закона. В конце концов, состояние этой экосистемы напрямую влияет на успех каждого производителя программного обеспечения, включая нас.
Поднятие планки для открытого исходного кода
CRA неизбежно повысит ожидания в отношении безопасности и прозрачности во всей индустрии программного обеспечения. Учитывая юридическое требование о проведении комплексной проверки компонентов с открытым исходным кодом, которые они хотят интегрировать, производителям необходимо будет более избирательно подходить к используемым ими компонентам с открытым исходным кодом, стимулируя отдавать приоритет проектам, которые демонстрируют надежные методы обеспечения безопасности, предоставляют четкую документацию и публикуют важные метаданные безопасности, такие как спецификации программного обеспечения (SBOM).
Это позитивный шаг, но он также создает проблемы. Риск заключается в том, что более мелкие проекты с меньшими ресурсами могут быть упущены из виду, что создаст неравные условия игры. Чтобы не приносить инновации в жертву ради соответствия, производители, фонды и участники должны работать вместе, чтобы делиться передовым опытом и предоставлять ресурсы, необходимые проектам для соответствия этим новым стандартам.
Развенчание заблуждений
В разговорах с мировым сообществом открытого исходного кода мы слышали несколько повторяющихся заблуждений о CRA. Во-первых, это применимо только к аппаратному обеспечению или физическим устройствам. В действительности, само программное обеспечение можно считать «продуктом с цифровыми элементами», а это означает, что, например, операционные системы, браузеры и менеджеры паролей — все это входит в сферу его применения, наряду с другими вертикалями.
Еще одно заблуждение заключается в том, что CRA является проблемой 2027 года. Хотя полный срок применения постановления приходится на 11 декабря 2027 года, некоторые сроки вступают в силу в 2026 году. Производители должны действовать уже сейчас, чтобы согласовать свои процессы, оценить риски и подготовиться к оценкам соответствия и европейским требованиям по маркировке соответствия. Ждать до 2027 года, когда будут готовы все внедряемые стандарты, просто не вариант.
Наконец, многие специалисты по сопровождению и разработчики полагают, что их вопросы слишком специфичны или слишком малы, чтобы иметь значение. Правда в том, что они не одиноки. Все живут в одной и той же неопределенности. Главное – сотрудничать, задавать вопросы и учиться вместе.
Сотрудничество как соблюдение требований
Именно эта вера в коллективные усилия привела к тому, что Red Hat присоединилась к рабочей группе Open Regulatory Compliance (ORC). ORC объединяет производителей, представителей открытого исходного кода и политиков, чтобы помочь превратить CRA в практическое и действенное руководство.
Мы гордимся тем, что вносим свой вклад в такие усилия, как проект руководства CRA Комиссии ЕС по открытому исходному коду, а также часто задаваемые вопросы CRA, всеобъемлющий общедоступный ресурс о том, как регулирование влияет на открытый исходный код, а также серию официальных документов, в которых рассматриваются такие вопросы, как обязанности производителя программного обеспечения и взаимосвязь между проектами с открытым исходным кодом и нормативными требованиями. Эти результаты помогают сделать соблюдение требований более доступным и достижимым для всех членов более широкого сообщества открытого исходного кода, от крупных предприятий до небольших проектов.
Через ORC мы готовимся к соблюдению требований CRA и помогаем сформировать путь экосистемы к готовности CRA.
Новая эра управления
Возможно, наиболее преобразующим аспектом CRA является признание роли управляющих программным обеспечением с открытым исходным кодом. Впервые концепция управления была официально признана в законе.
Это признание имеет решающее значение. Он подтверждает, что фонды, организации и компании, такие как Red Hat, играют жизненно важную роль в преодолении разрыва между отдельными проектами и нормативными обязательствами, возлагаемыми на производителей. Это также укрепляет идею о том, что соблюдение требований — это не бремя, а возможность укрепить доверие, подотчетность и долгосрочную устойчивость во всей цепочке поставок программного обеспечения.
CRA является катализатором — сигналом для производителей, управляющих и специалистов по сопровождению объединиться, чтобы укрепить безопасность открытого исходного кода. Но это также приглашает нас к сотрудничеству по-новому — согласовывать наши практики, делиться знаниями и строить более устойчивое цифровое будущее. Для Red Hat это не просто цель обеспечения соответствия. Это часть нашей миссии — быть катализатором сообществ клиентов, участников и партнеров, создавая лучшие технологии с открытым исходным кодом.
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Роман Жуков — эксперт и руководитель в области кибербезопасности с более чем 17-летним опытом обеспечения безопасности сложных систем и продуктов. В качестве главного архитектора Red Hat он руководит стратегией безопасности с открытым исходным кодом и межотраслевым сотрудничеством для создания надежных программных экосистем. Подробнее от Романа Жукова Джеймс Лавгроув — директор по государственной политике Red Hat в Европе, на Ближнем Востоке и в Африке (EMEA) и Азиатско-Тихоокеанском регионе (APAC). Он имеет более чем двадцатилетний опыт работы с различными организациями, в том числе с юридическими фирмами, правительством, агентствами и аналитическими организациями. Подробнее от Джеймса Лавгроува
