Apache软件基金会、Blender基金会、OpenSSL软件基金会、PHP基金会、Python软件基金会、Rust基金会和Eclipse基金会联合宣布,我们打算合作建立基于现有开源最佳实践的安全软件开发通用规范。
为了应对开源生态系统中网络安全的真实的挑战,并展示与欧盟网络弹性法案(CRA)、Apache软件基金会、Blender基金会、OpenSSL软件基金会、PHP基金会、Python软件基金会、Rust基金会的全面合作并支持其实施,和Eclipse基金会宣布了一项倡议,旨在建立基于开源最佳实践的安全软件开发的通用规范。
这项合作工作将在Eclipse Foundation Specification Process和一个新的工作组的主持下,由Eclipse Foundation AISBL托管。作为欧洲最大的开放源码基金会,它还支持一个健壮的开放规范过程,Eclipse基金会是这项工作的自然归宿。其他代码托管开源基金会,中小企业,行业参与者和研究人员也被邀请加入。这一高度技术性的标准化工作的起点将是当今各个开源基金会现有的安全政策和程序,以及描述最佳实践的类似文档。
工作组的治理将遵循Eclipse基金会通常的成员领导模型,但将通过开源社区的明确表示来增强,以确保决策的多样性和平衡。可交付成果将包括一个或多个工艺规范,这些工艺规范根据自由规范版权许可和免版税专利许可提供。
这种合作的原因不仅仅是合规。在软件,特别是开源软件,在现代社会中扮演着越来越重要的角色的时代,对可靠性,安全性和安全性的需求稳步增长。以即将出台的CRA为例,新法规强调了在2027年新法规生效之前,通过设计和强大的供应链安全标准来确保安全的紧迫性。
虽然开源社区和基金会通常坚持并在历史上建立了围绕安全的行业最佳实践,但他们的方法往往缺乏一致性和全面的文档。开源社区和更广泛的软件行业现在面临着一个共同的挑战:立法迫切需要网络安全流程标准。
CRA将导致委员会向欧洲标准组织提出许多标准要求。这些只是欧洲的要求—来自美国和其他地区的额外需求可以预期。
CRA还创造了一种新型的经济行为者—"开源软件管家"。正是在这种背景下,我们作为开源基金会,希望应对建立安全软件开发通用规范的挑战。
这一挑战因以下因素而更加复杂:
- 今天的全球软件基础设施超过80%是开源的。支撑任何具有数字元素的产品的软件栈通常使用开源软件构建。因此,公平地说,当我们讨论"软件供应链"时,我们主要是指开源,但不完全是指开源。
- 传统的标准组织与开源社区和更广泛的软件/IT行业的互动有限。更复杂的是,他们的治理模式目前没有为开源社区提供参与的机会。
- 开源社区与传统标准组织打交道的历史有限。使问题更加复杂的是,它们的资源限制使它们难以参与。
- 制定标准通常是一个漫长的过程,时间至关重要。
因此,虽然这些新的网络安全标准必须在考虑到开源开发流程和社区的要求的情况下开发,但在可用的时间内如何做到这一点并没有明确的路径。同样重要的是要注意,这些标准的开发方式也必须包括专有软件开发、大型企业、垂直行业和中小型企业的要求。
尽管存在这些挑战,但取得进展的基础是存在的。领先的开源社区和基金会多年来一直在开发和实践安全的软件开发过程。这些流程通常围绕协调披露、同行评审和发布流程等方面定义或设置行业最佳实践。每个社区都记录了这些进程,尽管有时使用不同的术语和方法。我们假设,开源社区中已经存在的网络安全流程技术文档可以为开发合规所需的网络安全流程提供一个有用的起点。
我们希望我们的规范能够为至少一个欧洲标准组织的正式标准化流程提供信息。考虑到CRA实施的时间紧迫,我们相信立即启动将提供一个建设性的环境,为开源的管理者、贡献者和采用者提供必要的技术讨论,以满足这些新法规的要求。
我们邀请您加入我们的合作努力,为安全的开源开发创建规范:贡献您的想法,并参与开源基金会,中小企业,行业领导者和研究人员联合收割机力量来应对重大挑战时所展现的魔力。要了解此计划的最新信息,请注册我们的邮件列表。
