七大开源基金会联合制定符合 CRA 法案的共同标准

Apache 软件基金会、Blender 基金会、Eclipse 基金会、OpenSSL 软件基金会、PHP 基金会、Python 软件基金会 和 Rust 基金会正在联合，为欧洲议会上个月通过的《欧洲网络弹性法案》(CRA) 制定通用规范和标准。

这项工作由 Eclipse 基金会牵头，旨在建立基于现有开源最佳实践的安全软件开发通用规范。“该工作组的成立是为了解决开源生态系统中网络安全的多方面挑战，并表明我们对与 CRA 合作和实施的承诺。”

CRA 法案的目的是为物联网产品等联网设备提供共同的安全要求，以便它们“在整个供应链和整个生命周期中都是安全的”。该法案旨在强制所有联网产品的制造商及时更新所有最新补丁和安全更新，并对不足之处进行处罚。违规处罚包括高达 1500 万欧元的罚款，或全球营业额的 2.5%。

公告指出，此次合作的原因不仅仅在于合规性。软件（尤其是开源软件）在现代社会中发挥着越来越重要作用的时代，对可靠性、安全性和保密性的需求稳步增长。以即将颁布的 CRA 为代表的新法规强调了，在新法规于 2027 年生效之前制定安全设计和稳健的供应链安全标准的紧迫性。

虽然开源社区和基金会通常坚持并在历史上建立了围绕安全的行业最佳实践，但他们的方法往往缺乏一致性和全面的文档。开源社区和更广泛的软件行业现在面临着共同的挑战：立法迫切需要网络安全流程标准。

该小组的初步工作将是列举各个开源基金会的现有安全政策和程序，以及描述最佳实践的类似文档。以这些最佳实践为起点，其目标是加速开发监管合规所需的有凝聚力的网络安全流程，同时提供一个中立的环境来与广大开源社区进行技术讨论。

工作组的治理将遵循 Eclipse 基金会通常由成员主导的模式，但将通过开源社区的明确代表进行增强，以确保决策的多样性和平衡。可交付成果将包括根据自由规范版权许可和免版税专利许可提供的一个或多个工艺规范。

延伸阅读：

• 欧盟 CRA 法案进入下一阶段，开源 “悲剧” 即将上演？