«Неосведомлены и неуверены»: отчет выявил широкое незнание требований ЕС по киберустойчивости, вступающих в силу в 2027 году

На этой неделе The Linux Foundation в партнерстве с Open Source Security Foundation (OpenSSF) и Linux Foundation Europe объявили о двух «передовых исследовательских отчетах» по теме безопасности с открытым исходным кодом. Отчеты посвящены Закону ЕС о кибернетической устойчивости (CRA) и «выделяют пробелы в знаниях и передовые практики для соблюдения CRA».

Отчет «Неосведомленные и неуверенные: суровая реальность готовности к CRA в сфере с открытым исходным кодом» включает опрос, в котором было выявлено, что 62% респондентов либо «совсем не знакомы» (36%) или «незначительно знакомы» (26%) с требованиями CRA — при этом 51% не были уверены в сроках его вступления в силу.

(Согласно одной из инфографик, только 28% правильно определили 2027 год как целевой год для полного соблюдения требований, а также указано, что CRA «ожидается, что приведет к росту цен на 6%, хотя 53% производителей все еще оценивают влияние на ценообразование»).

Производители, которые несут основную ответственность, не готовы — многие из них [46%] пассивно полагаются на исправления безопасности от upstream-разработчиков, и только небольшая часть создает Списки компонентного состава программного обеспечения (SBOM). В отчете рекомендуется, чтобы производители играли более активную роль в обеспечении безопасности с открытым исходным кодом, что необходимо больше финансирования и юридической поддержки для поддержки практик безопасности, и что четкие нормативные указания необходимы для предотвращения непреднамеренных негативных последствий для развития с открытым исходным кодом.

Исследование также предоставляет «глубокий анализ того, как открытое сотрудничество может укрепить безопасность программного обеспечения и инновации на глобальных рынках», а в другом отчете «рассматривается, как три проекта The Linux Foundation выполняют минимальные требования CRA по соответствию» и «предоставляются сведения о компонентах, необходимых для обеспечения лидерства в передовых практиках кибербезопасности». (В него также включены ресурсы, связанные с CRA.)

«Эти два отчета предлагают действенные выводы для заинтересованных сторон с открытым исходным кодом, чтобы подготовиться к 2027 году, когда CRA вступит в силу», — говорится в объявлении со ссылкой на руководителя исследовательского отдела The Linux Foundation. «Мы надеемся, что эти отчеты послужат катализатором более высокого уровня сотрудничества во всем сообществе с открытым исходным кодом».