تتحد المؤسسات مفتوحة المصدر حول معايير مشتركة لقانون مرونة الأمن السيبراني في الاتحاد الأوروبي
تجتمع سبع مؤسسات مفتوحة المصدر لإنشاء مواصفات ومعايير مشتركة لقانون المرونة السيبرانية في أوروبا (CRA)، وهي اللائحة التي اعتمدها البرلمان الأوروبي الشهر الماضي.
كشفت مؤسسة Apache Software Foundation، وBlender Foundation، وEclipse Foundation، وOpenSSL Software Foundation، وPHP Foundation، وPython Software Foundation، وRust Foundation عن نواياهم لتجميع مواردهم الجماعية وربط النقاط بين أفضل الممارسات الأمنية الحالية في تطوير البرمجيات مفتوحة المصدر – والتأكد من ذلك. أن سلسلة توريد البرمجيات التي تعرضت للضرر الشديد ستكون على مستوى المهمة عندما يدخل التشريع الجديد حيز التنفيذ في غضون ثلاث سنوات.
المكونات
تشير التقديرات إلى أن ما بين 70% و90% من البرامج اليوم تتكون من مكونات مفتوحة المصدر، ويتم تطوير العديد منها مجانًا بواسطة المبرمجين في وقتهم الخاص وبنفقاتهم الخاصة.
تم الكشف عن قانون المرونة السيبرانية لأول مرة في شكل مسودة منذ ما يقرب من عامين، بهدف تقنين أفضل ممارسات الأمن السيبراني لكل من منتجات الأجهزة والبرمجيات المباعة في جميع أنحاء الاتحاد الأوروبي. لقد تم تصميمه لإجبار جميع الشركات المصنعة لأي منتج متصل بالإنترنت على البقاء على اطلاع بأحدث التصحيحات والتحديثات الأمنية، مع فرض عقوبات على أوجه القصور.
وتشمل عقوبات عدم الامتثال غرامات تصل إلى 15 مليون يورو، أو 2.5% من إجمالي المبيعات العالمية.
أثار التشريع في صورته الأولية انتقادات شديدة من العديد من الهيئات الخارجية، بما في ذلك أكثر من اثنتي عشرة هيئة صناعية مفتوحة المصدر كتبت العام الماضي رسالة مفتوحة تقول إن القانون يمكن أن يكون له “تأثير مروع” على تطوير البرمجيات. تركز جوهر الشكاوى على كيفية تحميل مطوري البرامج مفتوحة المصدر “المنبع” المسؤولية عن العيوب الأمنية في المنتجات النهائية، وبالتالي ردع القائمين على المشروع المتطوعين من العمل على المكونات المهمة خوفًا من العقاب القانوني (وهذا مشابه للمخاوف التي كثرت حول الشركة). قانون الاتحاد الأوروبي بشأن الذكاء الاصطناعي الذي حصل على الضوء الأخضر الشهر الماضي).
لقد قدمت الصياغة الواردة في لائحة CRA بعض الحماية لعالم المصادر المفتوحة، بقدر ما تم إعفاء المطورين غير المهتمين بتسويق أعمالهم من الناحية الفنية. ومع ذلك، كانت اللغة مفتوحة للتفسير فيما يتعلق بما يندرج بالضبط تحت شعار “النشاط التجاري” – هل يمكن اعتبار الرعاية والمنح والأشكال الأخرى من المساعدة المالية، على سبيل المثال؟
تم إجراء بعض التغييرات على النص في نهاية المطاف، وتناول التشريع المنقح المخاوف بشكل موضوعي من خلال توضيح استثناءات المشاريع مفتوحة المصدر.
على الرغم من أن اللائحة الجديدة قد تمت الموافقة عليها بالفعل، إلا أنها لن تدخل حيز التنفيذ حتى عام 2027، مما يمنح جميع الأطراف الوقت لتلبية المتطلبات وتحديد بعض التفاصيل الدقيقة لما هو متوقع منهم. وهذا ما تجمعه المؤسسات السبعة مفتوحة المصدر معًا في الوقت الحالي.
توثيق
إن الطريقة التي تتطور بها العديد من المشاريع مفتوحة المصدر تعني أنها غالبًا ما تحتوي على وثائق غير مكتملة (إن وجدت على الإطلاق) مما يجعل من الصعب دعم عمليات التدقيق، فضلاً عن جعل من الصعب على المصنعين والمطورين تطوير عمليات CRA الخاصة بهم.
العديد من المبادرات مفتوحة المصدر ذات الموارد الأفضل لديها بالفعل معايير لائقة لأفضل الممارسات، فيما يتعلق بأشياء مثل الكشف المنسق عن نقاط الضعف ومراجعة النظراء، ولكن قد يستخدم كل كيان منهجيات ومصطلحات مختلفة. من خلال الاجتماع معًا كفريق واحد، يجب أن يقطع هذا شوطًا نحو التعامل مع تطوير البرمجيات مفتوحة المصدر باعتباره “شيئًا” واحدًا مرتبطًا بنفس المعايير والعمليات.
أضف إلى هذا المزيج التنظيمات المقترحة الأخرى، بما في ذلك قانون تأمين البرمجيات مفتوحة المصدر في الولايات المتحدة، ومن الواضح أن المؤسسات المختلفة و”مشرفي المصادر المفتوحة” سيخضعون لمزيد من التدقيق لدورهم في سلسلة توريد البرمجيات.
كتبت مؤسسة Eclipse Foundation في منشور بالمدونة اليوم: “على الرغم من أن المجتمعات والمؤسسات مفتوحة المصدر تلتزم بشكل عام بأفضل الممارسات الصناعية المتعلقة بالأمن وقد أسستها تاريخيًا، إلا أن مناهجها غالبًا ما تفتقر إلى التوافق والتوثيق الشامل”. “يتقاسم مجتمع المصادر المفتوحة وصناعة البرمجيات الأوسع الآن تحديًا مشتركًا: لقد قدمت التشريعات حاجة ملحة لمعايير عملية الأمن السيبراني.
التعاون الجديد، على الرغم من أنه يتكون من سبع مؤسسات في البداية، ستقوده في بروكسل مؤسسة Eclipse، التي تعد موطنًا لمئات المشاريع الفردية مفتوحة المصدر التي تشمل أدوات المطورين وأطر العمل والمواصفات والمزيد. ومن بين أعضاء المؤسسة هواوي، وآي بي إم، ومايكروسوفت، وريد هات، وأوراكل.
