Fundații Open Source

Fundații open source se unesc în privința standardelor

Șapte fundații open source se unesc pentru a crea specificații și standarde comune pentru Legea Europeană privind Reziliența Cibernetică (CRA), regulament adoptat de Parlamentul European luna trecută.

Fundația Apache Software, Fundația Blender, Fundația Eclipse, Fundația OpenSSL Software, Fundația PHP, Fundația Python Software și Fundația Rust au dezvăluit intențiile lor de a-și pune în comun resursele colective și de a lega punctele dintre cele mai bune practici de securitate existente în dezvoltarea de programe open source – și de a se asigura că lanțul de aprovizionare cu programe, atât de mult defavorizat, este la înâlțimea sarcinii atunci când noua legislație va intra în vigoare peste trei ani.

Compnente

Se estimează că între 70% și 90% din programele actuale sunt alcătuite din componente open source, multe dintre acestea fiind dezvoltate gratuit de programatori în timpul liber și pe banii lor.

Legea privind reziliența cibernetică a fost prezentată pentru prima dată sub formă de proiect în urmă cu aproape doi ani, cu scopul de codifica cele mai bune practici de securitate cibernetică atât pentru produsele hardware, cât și pentru programele vândute în Uniunea Europeană.

Acesta este conceput pentru a obliga toți producătorii de orice produs conectat la internet să fie la curent cu toate cele mai recente patch-uri și actualizări de securitate, cu sancțiuni în cazul unor deficiențe.

Sancțiuni

Aceste sancțiuni pentru nerespectarea legislației includ amenzi de până la 15 milioane de euro sau 2,5% din cifra de afaceri globală.

Legislația, în forma sa inițială, a stârnit critici acerbe din partea a numeroase organisme terțe, inclusiv a mai multor entități din industria open source, care anul trecut au scris o scrisoare deschisă în care au afirmat că legea ar putea avea un „efect de intimidare” asupra dezvoltării de programe.

Punctul central al plângerilor s-a axat pe modul în care dezvoltatorii open source „din amonte” ar putea fi trași la răspundere pentru defectele de securitate din produsele din aval, descurajând astfel întreținătorii voluntari ai proiectelor sa lucreze la componente critice de teama unor represalii legale.

Protecții

Formularea din cadrul regulmentului CRA a oferit unele protecții pentru domeniul surselor deschise, în măsura în care dezvoltaotrii care nu sunt preocupați de comercializarea muncii lor au fost scutiți din punct de vedere tehnic.

Cu toate acesstea, textul a fost deschis la interpretări în ceea ce privește ceea ce se încadrează exact în categoria „activitate comercială” – de exemplu, sponsorizările, donațiile și alte forme de asistență financiară ar putea fi luate în considerare?

În cele din urmă au fost aduse unele modifcări ale textului, iar legislația revizuită a abordat în mod substanțial preocupările prin clarificarea excluderilor proiectelor cu sursă deschisă.

Cu toate că noul regulament a fost deja aprobat, acesta nu va intra în vigoare până în 2027, ceea ce oferă tuturor părților timp pentru a îndeplini cerințele și pentru a pune la punct unele dintre cele mai mici detalii cu privire la ceea ce se așteaptă de le ele.

Și pentru asta se unesc acum cele șapte fundații open source.

Documentație

Modul în care evoluează multe proiecte open source a însemnat că acestea au adesea o documentație incompletă (dacă există), ceea ce face dificilă susținerea auditurilor și îngreunează dezvoltarea de către producătorii și dezvoltatorii din aval a propriilor proceduri de CRA.

Multe dintre inițiativele open source cu cele mai bune resurse dispun deja de standarde decente de bune practici, legate de aspecte precum dezvăluirea coordonată a vulnerabilităților și evaluarea reciprocă, dar fiecare entitate poate folosi metodologii și terminologii diferite.

Prin unirea lor ca o singură entitate, acest lucru ar trebui să contribuie la tratarea dezvoltării de programe cu sursă deschisă ca pe un singur „lucru” legat de aceleași standarde și procese.

Dacă mai adăugăm și alte propuneri de reglementare, inclusiv Securing Open Source Software Act din SUA, este clar că diversele fundații și „administratorii de surse deschise” vor fi supuși unei examinări mai amâănunțite în ceea ce privește rolul lor în lanțul de aprovizionare cu programe.

În timp ce comunitățile și fundațiile open source aderă, în general, al cele mai bune practici din industrie în materie de securitate și le-au stabilit în mod istoric, abordările lor le lisește adesea alinierea și documentația curpinzătoare.

Comunitatea open source și industria mai largă de programe împărtășesc acum o provocare comună: legislația a introdus o nevoie urgentă de standarde pentru procesele de securitate cibernetică.

a scris Fundația Eclipse

Noua colaborare, care fi formată inițial din șapte fundații, va fi condusă de la Bruxelles de Fundația Eclipse, care găzduiește sute de proiecte individuale cu sursă deschisă care cuprind instrumente pentru dezvoltatori, frameworks, specificații și multe altele.

Printre membri fundației se numără Huawei, IBM, Microsoft, Red Hat și Oracle.

ThinkRoot99

Numele meu este Cristian Moldovan și sunt utilizator de Linux de peste 10 ani.Am făcut parte din mai multe echipe open source din România: Fundația Ceata, Linux Mint România, Rogentos Linux Group. Între 2014 și 2018 am fost propietarul și editorul site-ului de știri despre linux, gnulinux.ro și actual proprietar al rootlinux.ro

View all posts by ThinkRoot99 →

One thought on “Fundații open source se unesc în privința standardelor

  1. "(…) Open source foundations unite on standards | / Linux @rootlinux / ThinkRoot99 @thinkroot99
    https://rootlinux.ro/fundatii-open-source-se-unesc-in-privinta-standardelor/

    "(…) Seven open source foundations are uniting to create common specifications and standards for the European Cyber Resilience Act (CRA), a regulation adopted by the European Parliament last month.

    Apache Software Foundation, Blender Foundation, Eclipse Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation and (…)"

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *