Az Európai Parlament a múlt hónapban elfogadta a kiberrezilienciáról szóló törvényt (Cyber Resilience Act, CRA). A 2027-től életbe lépő CRA-t sokan az innováció kerékkötőjének tartanak. Hét nyílt forráskódú alapítvány most összefogott, hogy közösen készítsenek a törvényhez olyan specifikációkat és szabványokat, melyek rendszerbe foglalják a nyílt forráskódú szoftverfejlesztés bevált biztonsági gyakorlatait.

A közös munkába az Apache Software Foundation, a Blender Foundation, az Eclipse Foundation, az OpenSSL Software Foundation, a PHP Foundation, a Python Software Foundation és a Rust Foundation fejlesztői közössége száll be. Az egész projektet pedig az Eclipse Foundation fogja össze.

Mindenhol open source

Az alapítványok összefogásának jelentősége óriási, mivel a szoftverek 70-90 százaléka nyílt forráskódú összetevőkből áll. Ezek jelentős részét ingyen, saját idejüket feláldozva fejlesztik a programozók (az ebből eredő problémákkal legutóbb itt foglalkoztunk).

A CRA viszont új helyzetet teremt, mivel törvényileg szabályozza az Európai Unióban értékesített hardver- és szoftvertermékekre vonatkozó biztonsági követelményeket. Szándéka szerint minden internethez csatlakoztatott termék gyártóját arra kényszeríti, hogy terméke biztonsági szempontból naprakész legyen (hibajavítások, biztonsági biztonsági frissítések stb.). Ha egy gyártó megsérti a törvényt, súlyos büntetés vár rá, amely akár globális forgalma 2,5 százalékát is elérheti.

A jogszabályt rengeteg iparági szervezet, köztük tucatnyi open source alapítvány kritizálta. Elsősorban attól féltek, hogy teljesen megbénítja a szoftverfejlesztést. Arra az elvi problémára sem találtak megoldást, hogy nyílt forráskódú fejlesztők egyáltalán felelőssé tehetők-e kereskedelmi termékek biztonsági hibáiért, ha egy adott komponenst ők fejlesztettek. Az open source mozgalmárok szerint a szabályozás csak elriasztja az önkéntes projektfenntartókat, mert nem akarják nyakukba venni egy esetleges jogi huzavona terhét.

Bár a végső szöveget több ponton is finomították, így technikailag a CRA szerint az önkéntes közreműködők nem vonhatók felelősségre, de továbbra is homályos, hol húzódik az önkéntesség határa. Az alapítványok ezért is érezték fontosnak, hogy egységes követelményrendszert dolgozzanak ki a nyílt forráskódú fejlesztőknek.

Ennek sarkalatos pontja lesz a dokumentáció. Sok open source projektnek ugyanis ez az egyik legnagyobb hiányossága, amely megnehezíti az auditot is. Emellett olyan jó gyakorlatokat kíván meghonosítani a közösségekben, mint az egységes fogalmi rendszert használó, összehangolt sebezhetőségi információk.

Az alapítványok igyekezete érthető. A különböző szoftverbiztonsági szabályozások (pl. az USA-ban a Securing Open Source Software Act) egyik célja ugyanis épp a különböző alapítványok nagyobb ellenőrzés alá vonása épp amiatt, mert egyre fontosabb szerepet töltenek be a szoftverellátási láncban.

Az Eclipse Foundation oldalán olvasható közlemény szerint a nyílt forráskódú közösségek és alapítványok általában ragaszkodnak a bevált iparági gyakorlatokhoz, de az összehangoltság nagyon hiányzik, és ezt teremtené meg az összefogás.