技术文章

欧盟（EU）成员国代表昨天就拟议的网络弹性法案（CRA）达成了共同协议。

CRA 去年的提案受到了一系列公众评论，从对其在软件安全方面制定更好标准的目标的普遍赞扬，到对其对开源项目的隐含责任以及定义商业与非商业使用的模糊语言的尖锐批评。开源。

由于开源软件占现代应用程序的 90%，因此对开源开发人员和维护人员犯下法律错误的惩罚可能会阻碍我们所知的创新和软件开发。

早期预警

虽然提高网络安全和网络弹性的意图是一个令人钦佩和理想的目标，但有关软件开发的基本组成部分的法律的模糊性可能会产生意想不到的不利后果。Sonatype 的首席技术官 Brian Fox在去年 12 月的一篇博客文章中详细阐述了这一点，并说道：

“如果那些也从开发或分发开源中获得商业利益的开源生产者和分销商突然对公共存储库中的每一个缺陷和漏洞负责，那么唯一合乎逻辑的结论就是开源的分裂。”

随着多个欧盟管理机构讨论、辩论和修改去年的 CRA 草案，该法律的措辞引发了开源组织越来越多的担忧，这些组织在 4 月份发表了一封公开信，表达了对该法律对开源软件潜在的“寒蝉效应”的不安。发展。

Sonatype对此评论进行了后续跟进，以帮助放大开源社区日益增长的担忧。当时，鉴于开源软件有可能被纳入 CRA 制定的商业标准，Linux 基金会、Eclipse 基金会、Python 软件基金会等许多组织都敲响了警钟。

用错误的方法解决正确的问题

CRA 的初衷是好的。所有软件在默认和设计上都应该是安全的。这些原则在国家网络安全战略、CRA 以及许多其他提高软件安全的国家方法中得到了呼应。然而，正如 Sonatype在 2022 年 12 月强调的那样，“看似故意省略开源豁免，会给开源基金会和维护者带来不应有的负担，不仅对欧盟创新和安全，而且对全球合作构成严重风险。”

研究表明，下载的所有易受攻击的开源组件中近96%都有可用的修复程序。相反，它是开源软件的消费，更具体地说是开源软件消费者的错误决定，推动了软件安全和供应链风险。开源代表了一种主要由时间捐赠驱动的公共利益，以及通过自由软件让世界变得更美好的近乎理想化的驱动力。然而，CRA 正是针对这种善意，并因为资源最多的人做出的糟糕决策而惩罚资源最少的人。

开源的未来

那么，后 CRA 世界的未来会是什么样子呢？

本周早些时候，在法规通过之前， 布莱恩·福克斯 (Brian Fox) 对此进行了总结：

“这种情况不仅破坏了开源精神，还可能引发开源危机，并使欧盟与世界其他国家隔绝。非欧盟开源生产商将避开欧盟市场，这意味着无法进入 Linux、Apache、Kubernetes 和许多其他项目。Maven Central、npm 和 PyPi 等存储库可能会被提示禁止欧盟使用，以避免被视为分发者。担心责任的欧盟项目可能会将其源代码从互联网上撤下，欧盟企业可能被迫停止对开源项目的贡献。”

CRA 最有可能的结果是开源贡献者和项目直接离开。较大的软件制造商将承担更高的成本，而较小的公司将无法竞争。无论如何，严重的破坏和混乱几乎是不可避免的。虽然这可能不是，也可能不是意图，但这似乎是最有可能的结果。

我们该去哪里？

首先，尽可能多地了解 CRA 可能对开源产生的影响。为了抢占先机，我们推荐以下资源：

• Eclipse 演示（视频）：《 欧洲网络弹性法案》更新

• Apache.org（博客）： 拯救开源：《网络弹性法案》即将发生的悲剧

• GitHub（博客）： 没有开源可持续性就没有网络弹性

我们还建议您阅读Chinmayi Sharma 撰写的《数字共享的悲剧》 。这篇详细的论文回顾了商业软件制造商逃避责任的悠久历史，并对政府如何将重点转向软件制造商责任进行了共同审查。

最后，随着 CRA 的推进，Sonatype 认为了解该法规的基础知识非常重要，因为它可能会在当今软件驱动的世界中产生长期影响，特别是对于欧盟开源软件的未来。下面我们概述了 CRA 的批准状态。

情况说明书：CRA

CRA 是欧盟委员会提出的一项网络安全法规，旨在通过针对具有数字元素的产品的通用网络安全标准来增强欧盟的网络安全和网络弹性。

欧盟委员会于 2022 年 9 月 15 日首次提出了这项法律，并发布了草案，将其作为欧洲议会和欧洲理事会横向网络安全要求的法规。

CRA 的目的是什么？

CRA 打算通过加强产品开发和交付的标准来应对影响具有数字元素的产品的威胁。

欧盟委员会指出 CRA 的两个主要目标如下：

• 通过确保投放市场的硬件和软件产品的漏洞较少，为开发具有数字元素的安全产品创造条件，并确保制造商在整个产品生命周期中认真对待安全问题。

• 创造条件，让用户在选择和使用带有数字元素的产品时考虑网络安全。

CRA 的要求将是强制性的，同时也是对现有欧洲网络安全规则的补充，以期加强软件供应链的安全。

谁受CRA管辖？

CRA 适用于在欧盟开发或销售的任何商业软件产品，“在非商业环境中开发”的产品除外。例如，就开源软件而言，“如果自由和开源软件是由单个组织或不对称社区开发的，并且单个组织通过业务关系中的相关使用产生收入，则应将其视为商业活动。“ 

在欧盟市场销售的任何带有数字元素的产品的制造商都需要遵守 CRA 规定的强制性要求。由于这些制造商仍然对每个产品整个生命周期的网络安全负责，因此他们需要报告任何被主动利用的漏洞或事件。

CRA 采用后，制造商将有两年的时间来适应该法规的要求。然而，报告主动利用的漏洞或事件的规定在一年后生效。

欧洲议会何时对 CRA 进行投票？

本月，欧洲理事会和欧盟委员会等政治团体就 CRA 拟议修改进行了最终讨论。2023 年 7 月 19 日，欧洲议会工业、研究和能源委员会 (ITRE)投票通过了CRA 的规则。

据报道，在此次投票以及欧盟管理机构之间达成协议后，西班牙轮值主席国将与欧洲议会就该立法的最终版本进行谈判。