Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi
Avrupa’nın Siber Dayanıklılık Yasası Açık Kaynak Kuruluşlarına ve Üreticilere Baskı Yapıyor
Akşaya Asokan (asokan_akshaya), David Perera (@daveperera) •
8 Nisan 2024
Yedi büyük açık kaynaklı projeye ev sahipliği yapan vakıflar, dünyanın ilk dijital tedarik zinciri düzenlemesi tarafından oluşturulan ve neredeyse imkansız olduğunu söyledikleri 2027 son teslim tarihi öncesinde bir araya geliyor.
Ayrıca bakınız: ML Destekli NGFW’nin 4 Temel Unsuru: Makine Öğrenimi Ağ Güvenliğini Nasıl Bozuyor?
Avrupa Birliği milletvekilleri Mart ayında, bağlı cihazların üreticileri ve geliştiricileri için siber güvenlik kuralları oluşturan Siber Dayanıklılık Yasasını onayladı. Düzenlemenin, ticaret bloğu üyelerinin doğrudan temsilcilerinden oluşan bir konsey tarafından nihai onaydan geçmesi gerekiyor; bu, milletvekilleri ve konseyin Aralık ayında düzenlemeye ilişkin vardığı siyasi anlaşmanın ardından bir formalite olması gereken bir adım. Avrupa Komisyonu öneriyi 2022’de sundu.
Kanun, Avrupa Konseyi kararlarından 36 ay sonra tam olarak yürürlüğe girecek ve sadece özel yazılım geliştirme süreci üreticileri için değil, aynı zamanda büyük açık kaynak projeleri için de zaman hızla ilerliyor. Açık kaynak kodunun dünyayı ne kadar derinden etkilediğine ilişkin tahminler farklılık gösteriyor. Bir tahmin, tüm kod tabanlarının %96’sının açık kaynak içerdiğini söylüyor. Siber Dayanıklılık Yasası uyumluluğu konusunda birlikte çalışan yedi vakıftan biri olan Eclipse Vakfı, küresel yazılım altyapısının %80’inin açık kaynak olduğunu tahmin ediyor.
İcra Direktörü Mike Milinkovich Salı günkü bir blog yazısında, “‘Yazılım tedarik zincirini’ tartıştığımızda, yalnızca değil, öncelikle açık kaynağa atıfta bulunduğumuzu söylemek doğru olur” dedi.
Diğer altı vakıf (Apache, Blender, OpenSSL, PHP, Python ve Rust), güvenli yazılım geliştirme için ortak spesifikasyonlar bulmakla görevlendirilen Brüksel merkezli bir çalışma grubu başlattı ve koordineli çalışma gibi konulardaki mevcut açık kaynak deneyimlerini başlangıç noktası olarak kullandı. açıklama, akran değerlendirmesi ve yayın süreçleri.
Milinkovich bir e-postada “Bu çok kısa bir süre” dedi. “Şartnamelerin geliştirilmesi zaman alıcıdır” ve kılavuzların yayınlanması yalnızca ilk adımdır. “Avrupa Birliği’nde satışa sunulan her ürünün bu süreçleri uygulaması ve uygunluklarını belgelemesi gerekecek ki bu da zaman alan bir görev.”
Siber Dayanıklılık Yasası’na uymanın birincil sorumluluğu, açık kaynak kodlayıcılara değil, ticari üreticilere ve geliştiricilere düşüyor; gönüllüler yasanın kapsamına bile girmiyor. Ancak Milinkovich, “açık kaynaklı projelerde mümkün olduğunca çok şey yapmak ve sonuçları aşağı yönde paylaşmak çok mantıklı” dedi.
Açık kaynak topluluğunun baskısını takiben Avrupalı yasa koyucular, kanunun parasal cezalarından ve gerekliliklerinin çoğundan muaf olan bir “açık kaynak sorumlusu” kavramını uygulamaya koydular (bkz: Siber Mavenler Avrupa’nın Siber Dayanıklılık Yasasını Eleştirdi).
Son metin, açık kaynak yöneticilerine, güvenli ürünlerin geliştirilmesini ve güvenlik açıklarının etkili bir şekilde ele alınmasını teşvik eden ve güvenlik açıklarını gönüllü olarak Avrupa yetkililerine bildiren moda politikaları uygulamaya çağırıyor.
Rust Vakfı’nın genel müdürü ve CEO’su Rebecca Rumbul, “OSS yönetim dilinin oluşturulması, öncelikle ticari tedarik zincirlerini hedefleyen kurallara tabi olmamamızı sağlıyor” dedi. “Yaptığı şey, Rust Vakfı gibi kâr amacı gütmeyen kuruluşların CRA kapsamında ticari aktörler olarak görülmemesini, daha çok kamu koruyucuları gibi görülmesini sağlamaktır.”
Milinkovich’in umduğu CRA’nın olası bir yan etkisi, eğer üreticilerin yasal olarak bir ürüne dahil ettikleri açık kaynak kodundaki güvenlik hatalarını ele alma zorunluluğu varsa, açık kaynak desteklerini güçlendirebilecekleridir.
“Örneğin, OSS bileşenlerinin kalitesinin sağlanması uyumluluk açısından çok daha uygun maliyetli ve güvenli olacağı için bunu yapmaları gerekiyor” dedi. “İzlemesi ilginç olacak.”