Yedi açık kaynak vakfı, Avrupa Parlamentosu tarafından kabul edilen Avrupa Siber Dayanıklılık Yasası (CRA) için ortak spesifikasyonlar ve standartlar oluşturmak üzere bir araya geliyor geçen ay.
Apache Yazılım Vakfı, Blender Vakfı, Eclipse Vakfı, OpenSSL Yazılım VakfıPHP Vakfı, Python Yazılım VakfıVe Pas Vakfı onların ortaya çıktığını havuza alma niyeti kolektif kaynaklarını bir araya getirin ve açık kaynak yazılım geliştirmede mevcut en iyi güvenlik uygulamaları arasındaki noktaları birleştirin ve yeni mevzuat üç yıl içinde yürürlüğe girdiğinde, çok kötü niyetli yazılım tedarik zincirinin göreve hazır olmasını sağlayın.
Bileşenler
Tahmin ediliyor ki %70 ila %90 arasında Günümüzdeki yazılımların çoğu, programcıların kendi zamanlarında ve kendi paralarıyla ücretsiz olarak geliştirildiği açık kaynaklı bileşenlerden oluşuyor.
Siber Dayanıklılık Yasası, Avrupa Birliği’nde satılan hem donanım hem de yazılım ürünleri için en iyi siber güvenlik uygulamalarını kodlamak amacıyla ilk kez yaklaşık iki yıl önce taslak halinde açıklandı. İnternete bağlı herhangi bir ürünün tüm üreticilerini en son yamalar ve güvenlik güncellemeleriyle güncel kalmaya zorlamak ve eksiklikler için cezalar uygulamak üzere tasarlanmıştır.
Bu uyumsuzluk cezaları arasında 15 milyon Euro’ya veya küresel cironun %2,5’ine kadar olan para cezaları yer alıyor.
Mevzuat, ilk görünümünde, aralarında geçen yıl Kanun’un yazılım geliştirme üzerinde “caydırıcı bir etkisi” olabileceğini söyleyen açık bir mektup yazan bir düzineden fazla açık kaynak endüstrisi organının da bulunduğu çok sayıda üçüncü taraf organın şiddetli eleştirilerine yol açtı. Şikayetlerin özü, “yukarı yöndeki” açık kaynak geliştiricilerin, aşağı yöndeki ürünlerdeki güvenlik kusurlarından nasıl sorumlu tutulabileceği ve böylece gönüllü proje yöneticilerinin yasal ceza korkusuyla kritik bileşenler üzerinde çalışmaktan nasıl caydırılabileceği konusuna odaklanıyordu (bu, çevrede çok sayıda olan endişelere benzer). Geçen ay yeşil ışık yakılan AB Yapay Zeka Yasası).
CRA yönetmeliğindeki ifadeler, çalışmalarını ticarileştirmekle ilgilenmeyen geliştiricilerin teknik olarak muaf tutulması nedeniyle açık kaynak alanı için bazı korumalar sunuyordu. Bununla birlikte, tam olarak neyin “ticari faaliyet” kapsamına girdiği konusunda dil yoruma açıktı; örneğin sponsorluklar, hibeler ve diğer mali yardım türleri sayılır mı?
Sonunda metinde bazı değişiklikler yapıldı ve revize edilen mevzuat endişeleri önemli ölçüde giderdi açık kaynak proje hariç tutmalarını netleştirerek.
Yeni düzenleme halihazırda onaylanmış olsa da 2027 yılına kadar yürürlüğe girmeyecek ve tüm taraflara gereklilikleri karşılamaları ve kendilerinden beklenenlerin bazı ince ayrıntılarını gidermeleri için zaman tanıyacak. Yedi açık kaynak vakfının şimdilik bir araya geldiği şey bu.
Dokümantasyon
Pek çok açık kaynak projesinin gelişme biçimi, genellikle (eğer varsa) düzensiz belgelere sahip olmaları anlamına geliyor; bu da denetimlerin desteklenmesini zorlaştırıyor ve alt üreticiler ile geliştiricilerin kendi CRA süreçlerini geliştirmelerini zorlaştırıyor.
Daha iyi kaynaklara sahip açık kaynak girişimlerinin çoğu, halihazırda aşağıdaki gibi konularla ilgili makul en iyi uygulama standartlarına sahiptir: koordineli güvenlik açığı açıklamaları Ve akran değerlendirmesiancak her kuruluş farklı metodolojiler ve terminolojiler kullanabilir. Bu, bir bütün olarak bir araya gelerek, açık kaynak yazılım geliştirmeyi aynı standartlar ve süreçlere bağlı tek bir “şey” olarak ele alma yönünde bir yol kat etmelidir.
ABD’deki Açık Kaynak Yazılımın Güvenliğini Sağlama Yasası da dahil olmak üzere önerilen diğer düzenlemeleri de hesaba kattığınızda, çeşitli vakıfların ve “açık kaynak yöneticilerinin” yazılım tedarik zincirindeki rolleri açısından daha fazla incelemeye tabi tutulacağı açıktır.
Eclipse Vakfı, “Açık kaynak toplulukları ve vakıfları genel olarak güvenlikle ilgili sektördeki en iyi uygulamalara bağlı kalsa ve tarihsel olarak yerleşik en iyi uygulamalara sahip olsa da, yaklaşımları çoğu zaman uyum ve kapsamlı belgelerden yoksundur.” bugün bir blog yazısında şunu yazdım. “Açık kaynak topluluğu ve daha geniş yazılım endüstrisi artık ortak bir sorunu paylaşıyor: Mevzuat, siber güvenlik süreç standartlarına acil bir ihtiyaç doğurdu.”
Başlangıçta yedi vakıftan oluşacak olan yeni işbirliğine, Brüksel’deki Eclipse Vakfı öncülük edecek. yüzlerce bireysel açık kaynak projesi geliştirici araçlarını, çerçeveleri, spesifikasyonları ve daha fazlasını kapsar. Vakfın üyeleri arasında Huawei, IBM, Microsoft, Red Hat ve Oracle yer alıyor.