Linux Foundation EuropeとOpen Source Security Foundation(OpenSSF)は、EUサイバーレジリエンス法(CRA)および将来のサイバーセキュリティ法の実施のために、メンテナー、メーカー、およびオープンソースのスチュワードを準備するためのグローバルな共同イニシアチブを発表しました。
EUサイバーレジリエンス法は、ソフトウェアセキュリティのための新しい規制要件を設定し、欧州市場で販売されているデジタル製品の安全性とセキュリティに重点を置いています。
共同イニシアチブは、非常に必要なサイバーセキュリティ基準とコンプライアンスフレームワークを開発および形式化して、1億人以上のオープンソースコミュニティがCRAで概説されている規制要件を理解し、満たし、世界中の法律に対処する努力を拡大するのに役立ちます。
このイニシアチブは、最近のオープンソースソフトウェアスチュワードおよびメーカーワークショップの議論と結果に基づいています。ここでは、主要な利害関係者が集まり、メーカー、オープンソースプロジェクト、オープンソースソフトウェアのスチュワードをCRAで概説した要件を整合するために必要な重要な作業に対処しました。 。
コード成果物とアクション
このイニシアチブは、以下を含むEUの政策立案者を支援するために、今後数か月にわたっていくつかのコアの成果物に焦点を当てます。
- サイバーセキュリティの仕様について議論し、正式化します。
- コンプライアンスガイダンスを提供します。
- コンプライアンスプロセスとツールの実装。
「世界で最も重要なオープンソースプロジェクトのいくつかのスチュワードとして、私たちは、これらの規制に準拠するために上流のオープンソースを活用するメンテナーとソフトウェアメーカーの摩擦を減らす責任を感じています」 Linux Foundation Europeで。
「CRAは最も差し迫った優先事項を表していますが、私たちのグローバルな性質は、司法管轄区全体でプロジェクトをサポートし、OpenSSFのような確立されたコミュニティ主導の基準とツールを通じて、断片化された規制状況の負担を防ぐことができることを意味します。」
OpenSSFのチーフセキュリティアーキテクトであるクリストファー「Crob」ロビンソンによると、これらの慣行の責任は、上流のオープンソースメンテナーではなく、パフォーマンスを提供する商業団体に正しく該当します。
「成熟したメーカーはすでに法律の要件の大部分を実行する必要がありますが、それらを行っていない人は、2027年にCRAが最終的に施行されるまで、まだ短い滑走路を持っています。」
Linux Foundation EuropeとOpenSSFは、より広範なオープンソースコミュニティにこのイニシアチブに参加するよう招待します。関与するには、グローバルサイバーポリシーWG Githubにアクセスするか、Slackチャンネル#WG-GlobalcyberPolicyに参加してください。
リード画像:Freepik。