欧盟《网络弹性法案》尘埃落定:制造商需为开源代码的安全性负责
2023-12-6 17:50:25 Author: mp.weixin.qq.com(查看原文) 阅读量:16 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

欧洲委员会在2022年9月份醍醐《网络弹性法案》,旨在设置一系列规则,重视所有直接或间接联网产品的安全性。产品同时包括硬件和软件产品。欧洲委员会和欧洲议会已在11月30日就文本达成一致,因此CRA将进入最后的批准阶段。

按照CRA 的规定,更多健壮的网络安全和弹性法规将要求组织机构按照最低标准保护数字化产品的安全。该法规将强制要求软件和硬件制造商遵循24小时的漏洞披露要求,并为产品提供最低五年的补丁支持服务。一旦CRA正式发布,在欧盟运营的组织机构需要改变安全实践以满足监管要求。如无法在规定时间内满足这些标准,则将面临最高2%的年收入额的罚款。

01
更长时间的支持和更高的透明度

最近,欧洲委员会和欧洲议会就 CRA 法案的内容达成共识。欧洲议会真的了解如何让设备更加安全吗?

首先,并非所有的立法都关注生产侧。这一部分的内容是硬件和软件的一些认证标准。这一流程后,设备会收到一个CE标记。一旦开始出售某个产品,制造商就必须发布足够的安全更新。这一阶段必须匹配设备的预期生命周期且必须至少覆盖五年。最后,CRA 要求必须上报安全事件。

02
开源无需遵守

对于开源社区而言,CRA 最终稿将要求产品制造商为所制造的产品安全性负责。如果制造商在产品中开始使用开源代码,那么这部分代码就成为产品的一部分且需为此负责。CRA 在一条规定里明确说明需要该法案的群体。不以商业化为目的而发生的任何开发将被允许忽视这些规则。开源开发人员通常无需像从商业利益出发的企业那样快速响应安全事件。

CRA 指出,“为了不会对创新或研究造成阻力,未以商业目的开发或提供的免费开源软件不应受该法规约束。对于软件更是如此,包括公开分享并可免费访问、使用、修改和重新分发的源代码及其修改版本。”

因此,制造商可能会持续从开源社区购买软件。多家开源组织机构在今年早些时候向欧洲委员会表达所担忧问题时指出,“在欧洲,含有数字化元素产品中出现的软件有超过70%是开源软件。”制造商之前可能会完全选择采用该代码,但现在必须部署安全控制。

03
欧盟内的设备价格会提高吗?

就法律文本达成一致后,欧洲委员会立即开始计算成本。结果发现,欧盟整体每年将节约2900亿欧元。

制造商的成本每年上涨2900亿欧元,因为他们必须投资解决更老旧的设备问题,而指望制造商吸收这些成本的概率很小。因此产品的售价在欧盟内比其它区域会更高。然而,从欧洲委员会的成本计算来看,这些额外成本将在长期得到覆盖,因为制造设备的成本节约持续时间更久。

勒索攻击是欧洲委员会希望通过CRA解决的另外一个问题。仅仅通过减少这些攻击,就很可能节约大量成本,“每隔11秒就有组织机构遭勒索攻击,每年就会造成约200亿欧元的成本。”

对于欧洲委员会和欧洲议会而言,就法律文本达成的共识说明,这些规则足以让产品更加安全,为法律文本的发布扫清最后一道障碍。对于制造商而言,法律文本发布后,制造商有36个月的过渡期。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

西门子爱立信施耐德电气等:欧盟《网络安全弹性法案(CRA)》或破坏供应链

欧盟委员会支持5个开源项目漏洞奖励计划,奖金池20万欧元

欧盟网络安全局发布《供应链攻击威胁全景图》报告(下)

原文链接
https://www.techzine.eu/blogs/security/113992/cyber-resilience-act-manufacturers-responsible-for-open-source-code/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518290&idx=2&sn=ddf33d3b32c5877f0633baec00900894&chksm=ea94b938dde3302e86d3ee1fac19208e012284f9b2cc55d435e794f38b955711a49471277a55&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh