Yedi açık kaynak vakfı, Avrupa Parlamentosu tarafından geçen ay kabul edilen Avrupa Siber Dayanıklılık Yasası (CRA) düzenlemesi için ortak spesifikasyonlar ve standartlar oluşturmak üzere bir araya geliyor.
Apache Yazılım Vakfı, Blender Vakfı, Eclipse Vakfı, OpenSSL Yazılım Vakfı, PHP Vakfı, Python Yazılım Vakfı ve Rust Vakfı, kolektif kaynaklarını bir araya getirme ve açık kaynaklı yazılım geliştirmede mevcut en iyi güvenlik uygulamaları arasındaki noktaları birleştirme ve Yeni mevzuatın üç yıl içinde yürürlüğe girmesiyle birlikte, çokça kötülenen yazılım tedarik zincirinin göreve hazır olduğu belirtiliyor.
Bileşenler
Günümüz yazılımlarının %70 ila %90’ının açık kaynak bileşenlerden oluştuğu ve bunların çoğunun programcılar tarafından kendi zamanlarında ve kendi paralarıyla ücretsiz olarak geliştirildiği tahmin edilmektedir.
Siber Dayanıklılık Yasası, Avrupa Birliği’nde satılan hem donanım hem de yazılım ürünleri için en iyi siber güvenlik uygulamalarını kodlamak amacıyla ilk kez yaklaşık iki yıl önce taslak halinde açıklandı. İnternete bağlı herhangi bir ürünün tüm üreticilerini en son yamalar ve güvenlik güncellemeleriyle güncel kalmaya zorlamak ve eksiklikler için cezalar uygulamak üzere tasarlanmıştır.
Bu uyumsuzluk cezaları arasında 15 milyon Euro’ya veya küresel cironun %2,5’ine kadar olan para cezaları yer alıyor.
Mevzuat, ilk haliyle, aralarında geçen yıl Kanun’un yazılım geliştirme üzerinde “caydırıcı bir etkisi” olabileceğini söyleyen açık bir mektup yazan bir düzineden fazla açık kaynak endüstri kuruluşu da dahil olmak üzere çok sayıda üçüncü taraf kuruluşun şiddetli eleştirilerine yol açtı. Şikayetlerin özü, “yukarı yöndeki” açık kaynak geliştiricilerin, aşağı yöndeki ürünlerdeki güvenlik kusurlarından nasıl sorumlu tutulabileceği ve böylece gönüllü proje yöneticilerinin yasal ceza korkusuyla kritik bileşenler üzerinde çalışmaktan nasıl caydırılabileceği konusuna odaklanıyordu (bu, çevrede çok sayıda olan endişelere benzer). Geçen ay yeşil ışık yakılan AB Yapay Zeka Yasası).
CRA yönetmeliğindeki ifadeler, çalışmalarını ticarileştirmekle ilgilenmeyen geliştiricilerin teknik olarak muaf tutulması nedeniyle açık kaynak alanı için bazı korumalar sunuyordu. Bununla birlikte, tam olarak neyin “ticari faaliyet” kapsamına girdiği konusunda dil yoruma açıktı; örneğin sponsorluklar, hibeler ve diğer mali yardım türleri sayılır mı?
Sonunda metinde bazı değişiklikler yapıldı ve revize edilen mevzuat, açık kaynak projelerin hariç tutulmasına açıklık getirerek endişeleri önemli ölçüde giderdi.
Yeni düzenleme halihazırda onaylanmış olsa da 2027 yılına kadar yürürlüğe girmeyecek ve tüm taraflara gereklilikleri karşılamaları ve kendilerinden beklenenlerin bazı ince ayrıntılarını gidermeleri için zaman tanıyacak. Yedi açık kaynak vakfının şimdilik bir araya geldiği şey bu.
Dokümantasyon
Pek çok açık kaynak projesinin gelişme şekli, genellikle (eğer varsa) düzensiz belgelere sahip olmaları anlamına geliyor; bu da denetimleri desteklemeyi zorlaştırıyor ve aynı zamanda alt üreticiler ve geliştiricilerin kendi CRA süreçlerini geliştirmelerini de zorlaştırıyor.
Daha iyi kaynaklara sahip açık kaynak girişimlerinin çoğunda, koordineli güvenlik açığı açıklamaları ve meslektaş incelemesi gibi konularla ilgili yeterli en iyi uygulama standartları halihazırda mevcuttur, ancak her kuruluş farklı metodolojiler ve terminolojiler kullanabilir. Bu, bir bütün olarak bir araya gelerek, açık kaynak yazılım geliştirmeyi aynı standartlar ve süreçlere bağlı tek bir “şey” olarak ele alma yönünde bir yol kat etmelidir.
ABD’deki Açık Kaynak Yazılımın Güvenliğini Sağlama Yasası da dahil olmak üzere önerilen diğer düzenlemeleri de hesaba kattığınızda, çeşitli vakıfların ve “açık kaynak yöneticilerinin” yazılım tedarik zincirindeki rolleri açısından daha fazla incelemeye tabi tutulacağı açıktır.
Eclipse Vakfı bugün bir blog yazısında şöyle yazdı: “Açık kaynak toplulukları ve vakıfları genel olarak güvenlik konusunda endüstrinin en iyi uygulamalarına bağlı kalsa ve tarihsel olarak yerleşik en iyi uygulamalara sahip olsa da, yaklaşımları çoğu zaman uyum ve kapsamlı belgelerden yoksundur.” “Açık kaynak topluluğu ve daha geniş yazılım endüstrisi artık ortak bir sorunu paylaşıyor: Mevzuat, siber güvenlik süreç standartlarına acil bir ihtiyaç doğurdu.
Başlangıçta yedi vakıftan oluşan yeni işbirliğine, Brüksel’de, geliştirici araçları, çerçeveler, spesifikasyonlar ve daha fazlasını kapsayan yüzlerce ayrı açık kaynak projesine ev sahipliği yapan Eclipse Vakfı öncülük edecek. Vakfın üyeleri arasında Huawei, IBM, Microsoft, Red Hat ve Oracle yer alıyor.
Kaynak: https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/