欧盟网络弹性法生效，开源软件发展面临重大转变

东莞长安律师获悉

近期，开源软件领域内，欧盟颁布的《网络弹性法》（Cyber Act，简称CRA）引发了广泛的讨论。该法案自2024年起正式实施，尽管全面执行需至2027年12月，但其影响已初露端倪，开源软件的发展轨迹亦因此遭遇重大转折。

Linux基金会发布了最新研究报告，其中对开源软件领域内CRA所产生的影响进行了详尽剖析。报告内容涵盖了当前所面临的主要挑战、具体的实践案例以及相应的应对策略和建议。

一、CRA是什么？

CRA的推出，其目的是全面提升欧盟市场以及全球范围内数字产品的网络安全质量。具体而言，它确立了三个核心目标：一是减少数字产品存在的漏洞数量及其严重性；二是保证产品在生命周期内始终保持较高的网络安全水平；三是帮助用户在选购和使用数字产品时，能够根据明确的网络安全标准做出合理的判断。

CRA的适用范围极为广泛，涵盖了欧盟市场上所有商业化销售的、含有数字元素的产品，不论这些产品是软件、硬件，抑或是两者的融合体，都必须遵守其相关规定。这其中包括了我们日常使用的手机、电脑软件以及工业控制系统等。此外，CRA还对制造商与开源软件管理者的职责进行了清晰的界定。制造商需承担产品合规性的核心责任，尽管开源软件的管理者无需直接对产品的商业化承担责任，但他们仍需履行一系列职责，诸如建立网络安全策略、迅速处理并报告安全漏洞、与监管机构展开合作，以及投身于自愿安全认证活动之中。

二、CRA给开源软件带来了哪些挑战？

CRA的问世，使得开源软件项目遭遇了一系列复杂且影响广泛的挑战。

项目合规成本显著提升，这首先体现在开源项目上。为了迎合CRA的严苛标准，这些项目不得不投入额外的庞大人力和资金。具体到人力配置，需建立一个既专业又技术高超的产品安全事件响应团队（PSIRT）。该团队不仅需具备迅速识别及修复漏洞的技术实力，还需拥有处理各类复杂安全事件的实际经验。团队成员应持续留意软件安全领域的最新信息，迅速采取行动解决各种安全风险，这要求他们投入相当多的时间和精力。此外，组建一支具备专业能力的团队并非轻而易举，必须进行专业培训并确保他们有持续学习的机会，这无疑会进一步推高成本。

在资金投入方面，要建立健全的安全政策和流程，需投入相当数量的资源。这涉及到对现有代码库进行彻底的安全审查，以发现可能存在的缺陷；采纳尖端的安全检测工具和技术，保障软件在开发与维护阶段的安保；同时，对开发流程进行优化，增加更多的安全环节和审查措施。此类任务往往涉及购置专业软件、聘请安全顾问等费用，对众多小型开源项目而言，这些开销无疑构成了沉重的经济压力。小型项目往往资源稀缺，很多项目可能主要依靠志愿者的无偿贡献，缺乏充足的资金储备来应对这些额外的开支，这种情况极有可能对项目的持续发展造成影响，甚至可能引发项目停滞。

在安全标准方面，CRA设定了极为严格的规范。开源项目需确保软件在现有环境中的安全性，同时还要对软件的整个生命周期实施安全管理，并且需详尽记录并对外公布与安全相关的信息。但遗憾的是，目前开源软件的安全标准尚未统一，各项目的安全水平存在较大差异。某些规模较大的开源项目或许已经构筑了较为健全的安全防护机制，然而，众多规模较小的项目可能因为资源不足和专业知识的欠缺，其安全防护措施显得较为单薄。

开源社区需强化合作，迅速构建一套统一的安全规范。然而，在实际执行过程中，它遭遇了众多挑战。社区成员分属不同的背景与机构，秉持着各异的技术观点和开发习性，要形成统一的安全规范实属不易。此外，即便规范得以确立，确保各项目能够切实执行这些标准亦是一项艰巨的任务。若不能确立并严格执行统一规范，众多开源项目在CRA的严格监管之下，很可能会遭遇符合规定的风险，进而对其在欧盟市场的应用与推广产生不利影响。

CRA对开源软件的供应链管理提出了前所未有的挑战。这一供应链结构异常复杂，涵盖了众多开发者、贡献者以及各种组件。许多开源项目可能需要依赖数百甚至上千个不同来源的组件，而这些组件的安全性和合规性水平不一。在CRA的规定下，制造商必须对开源组件进行细致的尽职调查，以保证其安全性和合规性。

这就意味着开源项目必须提供更为详尽和精确的软件物料清单（SBOM）。该清单需详细列出每个组件的来源、版本、授权情况以及安全性状况。然而，目前开源项目在SBOM的管理上呈现出显著的差异。部分项目可能仅粗略记录了依赖组件的名称及版本，却缺少了详细的授权信息和安全评估；更有甚者，一些项目甚至未能构建出完整的SBOM。这导致制造商在风险评估过程中遭遇重重难题，他们难以精确评估开源模块是否满足CRA的规定，进而提升了整个供应链的安全隐患。

三、开源项目的应对策略

面对CRA所提出的挑战，众多开源项目已开始采取积极措施应对。以Linux基金会管理的Civil（CIP）、Yocto等为代表，这些项目在安全领域的实践各具特色，并且不断进行探索与革新，力图更有效地满足CRA的相关要求。

CIP项目致力于向工业及民用基础设施供应关键的开源软件构件。在项目开发阶段，它主动采纳了IEC 62443-4-1工业网络安全规范，这一规范为其软件的安全性和稳定性构筑了稳固的防线。遵循该规范，CIP在软件的设计、开发、测试等各个阶段均融入了严谨的安全要求，从而在源头上显著减少了安全风险。CIP利用标签与分支机制，对开发版与发布版进行了有序的明确划分，同时将所有软件源代码公开发布于特定平台，这样的开放策略使得全球开发者能够便捷地查阅并贡献代码，显著推动了社区的协作与技术创新。

在漏洞管理领域，CIP打造了多渠道的报告机制。不仅采纳了公开途径提交的漏洞信息，还特别开设了专属的私密邮箱，以便接收那些负责任的漏洞披露。这样的做法不仅激发了安全研究者主动上报漏洞的积极性，同时也确保了报告者的个人信息安全，为迅速发现并修补漏洞提供了坚实的保障。为了有效提升漏洞修复的效率，CIP构建了一套周密的漏洞修复程序，旨在保证每一个漏洞都能在第一时间内得到迅速且高效的解决。

然而，在与市场监管部门携手共进的过程中，CIP也遭遇了若干挑战。鉴于其社区构成较为松散，成员遍布各地及各类组织，这导致在应对监管部门的诉求时，协调工作的效率并不理想。为此，CIP正在积极寻求构建更为高效的沟通与协调机制，比如设立专门的协调职位，该职位将负责与监管部门进行对接，整合社区资源，以确保能够迅速且有效地满足监管需求。

Yocto 是构建定制嵌入式Linux操作系统的行业规范“工具包”，其开发流程与CRA标准高度一致。它遵循有规律的发布节奏，每隔六个月推出一个标准版，每隔两年则推出一个长期支持（LTS）版。这样的稳定发布周期使用户能够明确掌握软件的更新计划，便于他们进行项目规划与维护。Yocto项目采用Git作为版本控制工具，从而使得代码的修订记录清晰可见，开发者能够便捷地回溯每一次的代码变动，这对代码审核和问题定位都带来了极大的便利。

在安全治理领域，Yocto 担任漏洞追踪系统的角色，同时采纳了CVE扫描工具，对软件执行了全面且深入的安全审查。这些工具具备迅速识别软件漏洞的能力，并能提供详尽的报告，助力开发者迅速锁定并解决相关问题。Yocto 极其重视构建的可重复性，这意味着在相同的源代码、构建环境以及指令下，任何用户都能产出完全一致的二进制文件。这一功能不仅显著提升了软件的安全性，而且增强了其可验证性和可重复性，使用户对基于Yocto构建的系统更加信任。

为了更充分地迎合CRA对软件物料清单（SBOM）的规定，Yocto生成了遵循SPDX 3.0标准的SBOM。借助这一标准化流程，Yocto能够详尽地记录软件内各组件的相关信息，诸如来源、版本、许可等，为制造商提供了精确的风险评估资料，从而显著增强了供应链的透明度与安全性。

目前Yocto的长期维护期限为四年，这一期限比CRA规定的五年略短。为了符合相关法规，项目组已开始策划将维护期限延长的方案。他们一方面正积极与社区同仁交流，力求获取更多资源与支持；另一方面，也在对现有的维护流程进行改进，旨在提升维护效率；同时，确保在延长维护期限的过程中，软件的质量与安全性不会受到影响。

这是一款专为资源有限设备设计的实时操作系统。其开发和管理过程围绕这一目标展开，每隔四个月便会推出一个新版本。此外，大约每2.5年，还会发布一个长期稳定的版本。这种高频率的更新机制，有助于及时引入新的功能并修复存在的漏洞，从而满足资源受限设备日益增长的需求。作为负责CVE编号的机构，我们拥有一支成熟的产品安全事件响应团队（PSIRT），该团队不仅掌握了专业的安全技术，而且积累了丰富的实战经验，能够迅速应对并妥善处理各种安全事件。

它不仅投身于自愿安全认证项目，而且在最佳实践徽章竞赛中荣获金牌，这一成就充分彰显了它在安全领域的杰出成就。此外，严格的禁运措施以及持续的安全标准评估机制，进一步巩固了它在安全领域的卓越表现。在察觉到严重的安全隐患时，禁运措施能够迅速禁止特定版本的运用与扩散，有效减少安全隐患；而持续的评估体系则保证了项目能够紧密跟踪安全标准的更新动态，持续改进其安全防护措施。

鉴于CRA在软件物料清单（SBOM）标准化领域的不足之处，我们正与多家开源项目及行业组织携手合作，致力于推进SBOM的标准化进程。我们热切地参与其中的讨论与制定环节，旨在构建一套统一且规范化的SBOM标准，以期降低因标准不统一所引发的合规风险。

四、开源社区的集体行动

为了更有效地应对CRA带来的挑战，开源领域正采取积极措施。在2024年12月，Linux社区携手举办了研讨会，活动邀请了开源项目的管理者、设备生产商以及政府部门的相关官员，共同商讨应对之策。

研讨会的核心议题集中在三个主要领域：制定标准、提升公众认知以及开发相关工具。在制定标准这一领域，开源社区致力于构建一套与CRA相契合的网络安全规范，这套规范将基于当前的最佳实践。为此，他们需要与欧洲监管机构保持紧密的合作关系，以确保这些标准能在CRA全面推行之前得到实施。提升公众认知的工作重点在于，通过实施全球性调研、构建决策模型以及编制教育资源等多种途径，使开源项目及制造商等相关主体更深入地掌握CRA的规范及其潜在影响。在工具开发方面，相关机构正计划制定统一的网络安全政策以及漏洞报告的标准化模板，同时搭建与市场监管部门的交流桥梁，并研究推行自愿性质的网络安全认证项目，以助力开源项目更有效地满足CRA的相关要求。

五、CRA带来的机遇

尽管引入CRA为开源软件带来了不少挑战，然而它同时也为开源生态系统的成长带来了新的机遇。借助CRA的促进作用，开源项目得以优化自身的安全架构，并提升软件的整体品质。在遵循法规要求的同时，开源项目将更加重视安全开发流程的建立、漏洞的及时处理以及供应链的安全保障，这些举措将显著增强开源软件在市场上的竞争力。

CRA的推行推动了开源社区与制造商、政府等不同领域的紧密协作。此类跨行业合作有助于知识的传播和技术的交流，进而为开源软件的成长营造了更加优越的条件。开源项目得以利用制造商的资源及市场洞察力，更有效地推广和实施其软件；此外，政府的加入也为开源社区带来了更多的政策扶持和资源保障。

六、未来展望

CRA的颁布标志着开源领域迈入了一个全新的成长阶段。在这一法规的约束下，开源项目必须持续优化和调整其发展路径，以适应愈发严格的网络安全标准。当前，开源软件正遭遇众多挑战，迫切需要开源社区的紧密合作与积极应对，共同推动开源软件生态向更加安全、可持续的方向演进。

长安镇律师?敬请于评论区发表高见，并对本文予以点赞及转发，以助广大读者把握法律与正义的界限。