Las fundaciones de código abierto se unen en torno a estándares comunes para la Ley de Resiliencia Cibernética de la UE

Siete fundaciones de código abierto se unen para crear especificaciones y estándares comunes para la Ley Europea de Resiliencia Cibernética (CRA), regulación adoptada por el Parlamento Europeo. el mes pasado.

El Fundación de software Apache, Fundación licuadora, Fundación Eclipse, Fundación de software OpenSSLFundación PHP, Fundación de software Pythony Fundación óxido reveló su intenciones de agrupar sus recursos colectivos y conectar los puntos entre las mejores prácticas de seguridad existentes en el desarrollo de software de código abierto, y garantizar que la tan difamada cadena de suministro de software esté a la altura de la tarea cuando la nueva legislación entre en vigor dentro de tres años.

Componente

Se estima que entre 70% y 90% El software actual se compone de componentes de código abierto, muchos de los cuales son desarrollados de forma gratuita por programadores en su propio tiempo y por su cuenta.

La Ley de Resiliencia Cibernética se presentó por primera vez en forma de borrador hace casi dos años, con miras a codificar las mejores prácticas de ciberseguridad para productos de hardware y software vendidos en toda la Unión Europea. Está diseñado para obligar a todos los fabricantes de cualquier producto conectado a Internet a mantenerse actualizados con los últimos parches y actualizaciones de seguridad, con sanciones por deficiencias.

Estas sanciones por incumplimiento incluyen multas de hasta 15 millones de euros, o el 2,5% de la facturación global.

La legislación en su forma inicial provocó feroces críticas de numerosos organismos de terceros, incluidos más de una docena de organismos de la industria de código abierto que el año pasado escribieron una carta abierta diciendo que la ley podría tener un “efecto paralizador” en el desarrollo de software. El meollo de las quejas se centró en cómo los desarrolladores de código abierto “upstream” podrían ser considerados responsables de los defectos de seguridad en productos posteriores, disuadiendo así a los mantenedores voluntarios de proyectos de trabajar en componentes críticos por temor a represalias legales (esto es similar a las preocupaciones que abundaban en todo el mundo). Ley de IA de la UE, que recibió luz verde el mes pasado).

La redacción de la regulación CRA ofrecía algunas protecciones para el ámbito del código abierto, en la medida en que los desarrolladores que no se preocupaban por comercializar su trabajo estaban técnicamente exentos. Sin embargo, el lenguaje estaba abierto a interpretación en términos de qué se incluye exactamente bajo el lema de “actividad comercial”: ¿contarían, por ejemplo, patrocinios, subvenciones y otras formas de asistencia financiera?

Finalmente se hicieron algunos cambios al texto y la legislación revisada abordó sustancialmente las preocupaciones aclarando las exclusiones de proyectos de código abierto.

Aunque la nueva regulación ya ha sido aprobada, no entrará en vigor hasta 2027, lo que dará tiempo a todas las partes para cumplir con los requisitos y pulir algunos de los detalles más finos de lo que se espera de ellas. Y esto es para lo que se están uniendo las siete fundaciones de código abierto por ahora.

Documentación

La forma en que evolucionan muchos proyectos de código abierto ha significado que a menudo tengan documentación irregular (si es que la tienen), lo que dificulta el respaldo de las auditorías y dificulta que los fabricantes y desarrolladores posteriores desarrollen sus propios procesos de CRA.

Muchas de las iniciativas de código abierto con mejores recursos ya cuentan con estándares de mejores prácticas decentes, relacionados con cosas como divulgaciones coordinadas de vulnerabilidades y revisión por pares, pero cada entidad puede utilizar metodologías y terminologías diferentes. Al unirnos como uno solo, esto debería contribuir de alguna manera a tratar el desarrollo de software de código abierto como una “cosa” única sujeta a los mismos estándares y procesos.

Si a esto le sumamos otras regulaciones propuestas, incluida la Ley de Seguridad del Software de Código Abierto en EE.UU., queda claro que las diversas fundaciones y “administradores del código abierto” serán objeto de un mayor escrutinio por su papel en la cadena de suministro de software.

“Si bien las comunidades y fundaciones de código abierto generalmente se adhieren y han establecido históricamente las mejores prácticas de la industria en torno a la seguridad, sus enfoques a menudo carecen de alineación y documentación completa”, dijo la Fundación Eclipse. escribió en una publicación de blog hoy. “La comunidad de código abierto y la industria del software en general comparten ahora un desafío común: la legislación ha introducido una necesidad urgente de estándares de procesos de ciberseguridad”.

La nueva colaboración, aunque inicialmente constará de siete fundaciones, estará encabezada en Bruselas por la Fundación Eclipse, que alberga a cientos de proyectos individuales de código abierto que abarca herramientas de desarrollo, marcos, especificaciones y más. Los miembros de la fundación incluyen a Huawei, IBM, Microsoft, Red Hat y Oracle.

Fuente