Επτά ιδρύματα ανοιχτού κώδικα συνεργάζονται για να δημιουργήσουν κοινές προδιαγραφές και πρότυπα για τον Ευρωπαϊκό νόμο για την ανθεκτικότητα στον κυβερνοχώρο (CRA), κανονισμό που εγκρίθηκε από το Ευρωπαϊκό Κοινοβούλιο τον προηγούμενο μήνα.

Screenshot at 2024 04 04 10 22 02

Το Ίδρυμα λογισμικού Apache, το Ίδρυμα Blender, τα Eclipse Foundation,OpenSSL Software Foundation, PHP Foundation, Python Software Foundation, και το Rust Foundation αποκάλυψαν τις προθέσεις για συγκέντρωση των συλλογικών τους πόρων και να συνδέσουν τις υφιστάμενες βέλτιστες πρακτικές ασφάλειας στην ανάπτυξη λογισμικού ανοιχτού κώδικα — και να εξασφαλίσουν ότι η αλυσίδα εφοδιασμού του ανοιχτού λογισμικού  θα είναι έτοιμη όταν η νέα νομοθεσία τεθεί σε ισχύ σε τρία χρόνια.

Υπολογίζεται ότι μεταξύ 70% και 90% του λογισμικού σήμερα αποτελείται από στοιχεία ανοιχτού κώδικα, πολλά από τα οποία αναπτύσσονται δωρεάν από προγραμματιστές στον δικό τους χρόνο και με τα δικά τους έξοδα,

Ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο αποκαλύφθηκε για πρώτη φορά σε προσχέδιο πριν από σχεδόν δύο χρόνια, με σκοπό την κωδικοποίηση βέλτιστων πρακτικών ασφάλειας στον κυβερνοχώρο για προϊόντα υλικού και λογισμικού που πωλούνται σε ολόκληρη την Ευρωπαϊκή Ένωση. Έχει σχεδιαστεί για να υποχρεώνει όλους τους κατασκευαστές οποιουδήποτε προϊόντος που είναι συνδεδεμένο στο Διαδίκτυο να παραμένουν ενημερωμένοι με όλες τις πιο πρόσφατες ενημερώσεις κώδικα και ενημερώσεις ασφαλείας, με κυρώσεις για ελλείψεις.

Αυτές οι κυρώσεις μη συμμόρφωσης περιλαμβάνουν πρόστιμα έως 15 εκατ. ευρώ, ή 2,5% του παγκόσμιου τζίρου.

Η νομοθεσία στην αρχική της μορφή προκάλεσε σφοδρή κριτική από πολλούς φορείς τρίτων, συμπεριλαμβανομένων περισσότερων από δώδεκα φορέων του κλάδου ανοιχτού κώδικα που πέρυσι έγραψαν μια ανοιχτή επιστολή λέγοντας ότι ο νόμος θα μπορούσε να έχει «ανατριχιαστικό αποτέλεσμα» στην ανάπτυξη λογισμικού. Η ουσία των καταγγελιών επικεντρώθηκε στον τρόπο με τον οποίο οι προγραμματιστές ανοιχτού κώδικα θα μπορούσαν να θεωρηθούν υπεύθυνοι για ελαττώματα ασφαλείας σε προϊόντα μεταγενέστερων σταδίων, αποτρέποντας έτσι τους εθελοντές συντηρητές έργων από το να εργαστούν σε κρίσιμα στοιχεία υπό το φόβο της νομικής τιμωρίας .

Η διατύπωση στον κανονισμό CRA όντως προσέφερε ορισμένες προστασίες για το πεδίο του ανοιχτού κώδικα, στο βαθμό που οι προγραμματιστές που δεν ασχολούνταν με την εμπορευματοποίηση της εργασίας τους εξαιρούνταν τεχνικά. Ωστόσο, η γλώσσα ήταν ανοιχτή σε διερμηνεία όσον αφορά το τι ακριβώς εμπίπτει στο έμβλημα της «εμπορικής δραστηριότητας» — θα μετρούσαν, για παράδειγμα, οι χορηγίες, οι επιχορηγήσεις και άλλες μορφές οικονομικής βοήθειας;

Τελικά έγιναν ορισμένες αλλαγές στο κείμενο και η αναθεωρημένη νομοθεσία αντιμετώπισε ουσιαστικά τις ανησυχίες μέσω της διευκρίνισης των εξαιρέσεων έργων ανοιχτού κώδικα και αναλαμβάνει έναν συγκεκριμένο ρόλο για αυτό που αποκαλεί «διαχειριστές ανοιχτού κώδικα», που περιλαμβάνει μη κερδοσκοπικά ιδρύματα.

Αν και ο νέος κανονισμός έχει ήδη υπογραφεί, δεν θα τεθεί σε ισχύ πριν από το 2027, δίνοντας σε όλα τα μέρη χρόνο να ανταποκριθούν στις απαιτήσεις και να ξεκαθαρίσουν ορισμένες από τις λεπτομέρειες του τι αναμένεται από αυτά. Και αυτό είναι που συγκεντρώνουν τα επτά ιδρύματα ανοιχτού κώδικα προς το παρόν.

Τεκμηρίωση

Ο τρόπος με τον οποίο εξελίσσονται πολλά έργα ανοιχτού κώδικα σημαίνει ότι έχουν συχνά αποσπασματική τεκμηρίωση (αν υπάρχει), γεγονός που καθιστά δύσκολη την υποστήριξη ελέγχων και δυσκολεύει τους μεταγενέστερους κατασκευαστές και προγραμματιστές να αναπτύξουν τις δικές τους διαδικασίες CRA.

Πολλές από τις πρωτοβουλίες ανοιχτού κώδικα με καλύτερους πόρους διαθέτουν ήδη αξιοπρεπή πρότυπα βέλτιστων πρακτικών, που σχετίζονται με πράγματα όπως συντονισμένες αποκαλύψεις ευπάθειας και αξιολόγηση από ομοτίμους, αλλά κάθε οντότητα μπορεί να χρησιμοποιεί διαφορετικές μεθοδολογίες και ορολογίες. Συνδυάζοντας ως ένα, αυτό θα πρέπει να συμβάλει στην αντιμετώπιση της ανάπτυξης λογισμικού ανοιχτού κώδικα ως ένα ενιαίο «πράγμα» που δεσμεύεται από τα ίδια πρότυπα και διαδικασίες.

Αν μπούν στο μείγμα  και άλλοι προτεινόμενοι κανονισμοί, συμπεριλαμβανομένου του Νόμου περί Διασφάλισης Λογισμικού Ανοικτού Κώδικα στις Η.Π.Α., και είναι σαφές ότι τα διάφορα ιδρύματα θα τεθούν υπό μεγαλύτερο έλεγχο για τον ρόλο τους στην αλυσίδα εφοδιασμού λογισμικού.

«Ενώ οι κοινότητες και τα ιδρύματα ανοιχτού κώδικα γενικά τηρούν και έχουν καθιερώσει ιστορικά τις βέλτιστες πρακτικές του κλάδου σχετικά με την ασφάλεια, οι προσεγγίσεις τους συχνά στερούνται ευθυγράμμισης και ολοκληρωμένης τεκμηρίωσης», το Ίδρυμα Eclipse έγραψε σε ανάρτηση στο blog σήμερα. «Η κοινότητα ανοιχτού κώδικα και η ευρύτερη βιομηχανία λογισμικού μοιράζονται τώρα μια κοινή πρόκληση: η νομοθεσία έχει εισαγάγει μια επείγουσα ανάγκη για πρότυπα διαδικασιών ασφάλειας στον κυβερνοχώρο».

Η νέα συνεργασία, ενώ αρχικά αποτελείται από επτά ιδρύματα, θα ηγηθεί στις Βρυξέλλες από το Eclipse Foundation, το οποίο φιλοξενεί εκατοντάδες μεμονωμένα έργα ανοιχτού κώδικα που εκτείνονται σε εργαλεία προγραμματιστή, πλαίσια, προδιαγραφές και πολλά άλλα. Μέλη του ιδρύματος περιλαμβάνουν  τις Huawei, IBM, Microsoft, Red Hat και Oracle.

Πηγή άρθρου: https://techcrunch.com