欧盟网络弹性法案(CRA)将提升软件安全标准。Red Hat积极准备并倡导协作,消除误解,以强化开源生态系统,促进合规。关键截止日期始于2026年。
译自:Making the Cyber Resilience Act Work for Open Source
作者:Roman Zhukov, James Lovegrove
随着欧盟网络弹性法案 (CRA) 实施截止日期的临近,多个垂直领域的软件制造商开始了解其对软件安全和合规性的广泛影响,这些现在已与创新密不可分。
在 Red Hat,我们处于一个独特的交汇点。我们是提供企业级开源解决方案的制造商,但我们也是潜在的开源软件管理者。这种双重角色意味着我们完全支持有助于加强上游和下游组织网络安全态势的法规。同时,我们也希望推动国际层面在标准和法规上的统一,以进一步支持而非扼杀现代IT所依赖的全球开源生态系统。
使CRA具有可操作性
Red Hat 在CRA出台之前就已经开始为其做准备,这得益于我们在实地政策参与以及与欧盟委员会的合作。我们认识到,合规性不是通过一张核对清单就能实现,而是通过将安全的开发实践融入我们所做的一切中,形成一种文化。
为此,我们建立了一个全面的内部CRA项目,涵盖八个工作流,从意识和内部/外部沟通到漏洞管理、事件响应、符合性评估和法律审查。这一结构反映了我们长期以来致力于默认构建具有增强安全足迹的软件的承诺。虽然Red Hat已经遵循安全设计原则,但CRA促使我们对现有流程进行了彻底审查,以确认完全符合。CRA现在为我们提供了一个机会,将这些努力在我们的整个产品生命周期中正式化和扩展。
我们相信,这种方法不仅使Red Hat符合CRA的要求,还有助于更广泛的开源生态系统适应法案的要求。毕竟,该生态系统的健康直接影响包括我们在内的每个软件制造商的成功。
提升开源标准
CRA将不可避免地提高整个软件行业对安全设计和透明度的期望。鉴于法律要求制造商对其希望集成的开源组件进行尽职调查,他们将需要对所使用的开源组件更加挑剔,从而激励优先选择那些展示强大安全实践、提供清晰文档并发布必要安全元数据(如软件物料清单 (SBOM))的项目。
这是一个积极的步骤,但它也带来了挑战。风险在于规模较小、资源较少的项目可能会被忽视,造成不公平的竞争环境。为了防止为合规而牺牲创新,制造商、基金会和贡献者必须共同努力,分享最佳实践并提供项目满足这些新标准所需的资源。
消除误解
在全球开源社区的对话中,我们听到了关于CRA的几个常见误解。第一个是它只适用于硬件或物理设备。实际上,软件本身可以被视为“带有数字元素的产品”,这意味着,例如,操作系统、浏览器和密码管理器都属于其范围,以及其他垂直领域。
另一个误解是CRA是2027年的问题。虽然该法规的全面实施截止日期是2027年12月11日,但一些截止日期在2026年生效。制造商必须立即采取行动,调整其流程、评估风险并为符合性评估和欧洲符合性标志要求做准备。等到2027年以及所有实施标准准备就绪根本不是一个选择。
最后,许多维护者和开发者认为他们的问题太具体或太小,不值一提。事实是,他们并不孤单。每个人都在应对同样的不确定性。关键是协作、提问和共同学习。
协作即合规
正是这种对集体努力的信念,让Red Hat加入了开放监管合规 (ORC) 工作组。ORC汇集了制造商、开源管理者和政策制定者,以帮助将CRA转化为实用、可操作的指导。
我们很荣幸能为欧盟委员会关于开源的CRA指南草案以及CRA FAQ(一个关于该法规如何影响开源的全面公共资源)以及一系列探讨软件制造商责任和开源项目与监管要求之间关系等问题的白皮书做出贡献。这些成果有助于使从大型企业到小型项目的整个开源社区的每个人更容易获得和实现合规性。
通过ORC,我们正在为我们自己的CRA合规性做准备,并帮助塑造生态系统走向CRA就绪的路径。
管理的新时代
也许CRA最具变革性的方面是它对开源软件管理者角色的认可。这是管理概念首次在法律上得到正式承认。
这种认可是至关重要的。它确认了像Red Hat这样的基金会、组织和公司在弥合单个项目与制造商所承担的监管义务之间差距方面发挥着至关重要的作用。它还强化了合规不是负担,而是加强整个软件供应链信任、问责制和长期可持续性的机会这一理念。
CRA是一个催化剂——它向制造商、管理者和维护者发出信号,要求他们齐心协力加强开源的安全态势。但它也邀请我们以新的方式进行协作——协调我们的实践,分享我们的知识,并构建一个更具弹性的数字未来。对Red Hat来说,这不仅仅是一个合规目标。它是我们作为客户、贡献者和合作伙伴社区的催化剂,以开源方式创造更好技术使命的一部分。
