Szerzők: Dömös Zsuzsanna, Batiz Eszter

2024. április 11. 14:10

Összefog az open source közösség a közös szabványokért

A nyílt forráskódú szoftverfejlesztés alapelveit lefektető közös szabványok kidolgozását határozták meg közös célként az open source közösség meghatározó szereplői, még az új uniós, kiberrezilienciáról szóló törvény hatályba lépése előtt.

Hét open source alapítvány fogott össze annak érdekében, hogy közös specifikációkat és szabványokat hozzanak létre az Európai Parlament által a múlt hónapban elfogadott európai kiberreziliencia törvény (CRA) életbe lépése előtt. Név szerint az Apache Software Foundation, a Blender Foundation, az Eclipse Foundation, az OpenSSL Software Foundation, a PHP Foundation, a Python Software Foundation és a Rust Foundation egyesítik kollektív erőforrásaikat, hogy mire három év múlva életbe lép az új jogszabály, a szoftveres ellátási lánc fel legyen készítve a meghatározott biztonsági követelményekre.

A kezdetben hét alapítványból álló új együttműködést az Eclipse Foundation fogja vezetni Brüsszelben, amely több száz egyedi nyílt forráskódú projektnek ad otthont, az alapítvány tagja a Huawei, az IBM, a Microsoft, a Red Hat és az Oracle. A csoport a már meglévő best practice-dokumentumokat, biztonsági irányelveket és eljárásokat veszi majd figyelembe a közös keret- és folyamatrendszer kialakítására, ami egységes iránymutatással biztosíthatja a nyílt forrású megoldások és rendszerek ellenállóképességét a kibertámadások új és modern formáival szemben is.

Az Európai Bizottság két éve mutatta be az Európai Unióban értékesített hardver- és szoftvertermékekre vonatkozó CRA tervezetét, mely szerint a jövőben minden internetre csatlakozó eszköz, digitális hardver- és szoftvertermék gyártója köteles lesz felmérni a termékei kiberbiztonsági kockázatait, illetve azonosítani és javítani azok sérülékenységeit, legyen szó hűtőről, mobilalkalmazásról, különféle okoseszközökről. Margrethe Vestager, az EU digitális ügyekért felelős biztosa közleményében úgy fogalmazott: a törvény azokra helyezi a felelősséget, akik a termékeket a piacra viszik. Mulasztás esetén akár 15 millió eurós, vagy a globális forgalom 2,5 százalékáig terjedő pénzbírság repülhet.

kiberrezi

Promptolsz-e már padawan?

Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.

Promptolsz-e már padawan? Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.

A CRA eredeti formájában éles kritikákat kapott, köztük több mint tucatnyi nyílt forráskódú iparági szervezettől, akik tavaly nyílt levélben fogalmazták meg, hogy a törvény „dermesztő hatással” bírhat a szoftverfejlesztésre. Becslések szerint manapság a szoftverek 70-90%-a nyílt forráskódú komponensekből áll, amelyek közül sokat a programozók ingyenesen fejlesztenek a szabadidejükben, önköltségükön.

Az open source közösség kritikaként rótta fel, hogy kezdetben a rendelet megalkotói szinte egyáltalán nem voltak hajlandóak arra, hogy párbeszédet folytassanak az érintett közösségek és alapítványok vezetőivel a javaslataikról, és több helyen volt félreértelmezhető vagy pontatlan a rendelet. A panaszok jelentős része arra a problémára fókuszált, hogy az upstream nyílt forráskódú fejlesztők miként lesznek felelősségre vonhatók a downstream termékek biztonsági hibáiért.

A dermesztő hatás abban nyilvánulhat meg a kritikusok szerint, hogy az önkéntes fejlesztők lemondhatnak a kritikus komponenseken való munkáról, tartva a lehetséges jogi következményektől. A rendelet értelmében a munkájuk kereskedelmi forgalomba hozatalát nem tervező fejlesztők technikailag mentesültek az előírások alól, azonban homályos volt, hogy pontosan mi tartozik kereskedelmi tevékenység fogalma alá.

A módosított és felülvizsgált jogszabálynak már sikerült érdemben is jobban kezelnie a problémát, és leszögezi, hogy a nem kereskedelmi tevékenység keretében fejlesztett vagy biztosított szabad és nyílt forráskódú szoftverek nem tartoznak a rendelet hatálya alá. Ez különösen igaz a nyíltan megosztott és szabadon hozzáférhető, használható, módosítható és terjeszthető szoftverekre, beleértve azok forráskódját és módosított változatait is.

Az új szabályozás csak 2027-ben lép hatályba, így minden félnek lesz elég ideje teljesíteni a követelményeket, és kidolgozni a fontosabb részleteket, eddig tervezi a nyílt forráskódú alapítványokból álló munkacsoport a közös szabványok kidolgozását. Sok nyílt forráskódú projektre jellemző a dokumentációk hiányossága, ami megnehezíti az auditok támogatását, és megnehezíti a későbbi gyártók és fejlesztők számára a saját CRA-folyamataik kidolgozását. A jobb forrásokkal rendelkező nyílt forráskódú kezdeményezések közül sok már bevált gyakorlati szabványokkal rendelkezik az olyan kérdésekkel kapcsolatban, mint a sebezhetőségek közzététele és a szakértői értékelés, de minden entitás eltérő módszertant és terminológiát alkalmazhat. A csoportosulás szeretné ezeket a gyakorlatokat közös nevezőre hozni.

A sorozat május 28-i, harmadik állomásán az AWS-ben biztonsági megoldásait vesszük nagyító alá. Átnézzük a teljes AWS security portfóliót a konténerbiztonságtól a gépi tanulásos alkalmazások védelmén át, egészen az incidenskezelésig.

a címlapról