Industrija softvera otvorenog koda (OSS) razvija osnovni softver za globalnu infrastrukturu, do te mjere da čak i neki vlasnički softverski divovi usvajaju Linux servere za svoje usluge u cloud-u. Ipak, nikada se nije uspjelo organizovati stvaranjem predstavničkih tijela koja bi bila sposobna da daju organski odgovor na pitanja kao što su ona na evropskom nivou pokrenuta Zakonom o sajber otpornosti.
Godinama se zalažem za potrebu transformacije pokreta zasnovanog na entuzijazmu pojedinaca u nešto strukturirano, što predstavlja njegovu tržišnu vrijednost (prema nekim procjenama samo u Evropi preko 100 milijardi eura).
Naravno, izazov je izvršiti transformaciju bez narušavanja kretanja, jer cilj nije reproducirati svijet vlasničkog softvera i njegovu strukturnu ovisnost o sistemu lobiranja, već donijeti istu vrstu inovativnog pristupa iz softvera u organizacije. .
Zakon EU o cyber otpornosti kao poticaj za promjene
Zakon o cyber otpornosti bio je šok koji je mnoge ljude probudio iz zone komfora: Kako se usuđuju „tehnički“ predstavnici Evropske unije dovesti u pitanje sigurnost softvera otvorenog koda? Odgovor je vrlo jednostavan: jer im to nikada nismo rekli, a oni su pretpostavili da je to zato što niko nije brinuo o sigurnosti.
Ovo je kratkovidno gledište, ali je reprezentativno za nedostatak svijesti o softveru otvorenog koda čak i među insajderima, što je nažalost direktna posljedica kako vrlo malo pažnje komunikaciji tako i nedostatka zajedničke strategije o zajedničkim pitanjima, kao što je npr. sigurnost.
Incidenti Heartbleed i Log4Shell stvorili su percepciju da niko ne brine o sigurnosti softvera otvorenog koda. Kao da globalna infrastruktura, koja leži na plećima mnogih servera i mrežne opreme zasnovane na Linuxu, radi čistom igrom slučaja ili srećnom koincidencijom.
Na kraju, Zakon o cyber otpornosti odobrili su zakonodavci EU uz nekoliko izmjena koje su ga učinile prihvatljivim. Najvažnije je stvaranje “upravljača otvorenog koda”.
Upravitelj otvorenog koda je svako pravno lice (osim proizvođača) čija je svrha:
- Pružati podršku na održivoj osnovi za razvoj proizvoda sa digitalnim elementima koji se kvalificiraju kao besplatni softver otvorenog koda (FOSS), namijenjen komercijalnim aktivnostima
- Osigurajte održivost tih proizvoda
U skladu sa tim, pružanje besplatnih softverskih proizvoda otvorenog koda s digitalnim elementima koje njihovi proizvođači ne unovčavaju ne smatra se komercijalnom aktivnošću i ne podliježe istim pravilima postavljenim Zakonom o otpornosti na cyber za komercijalni softver.
CRA zahtijeva da softver sa automatskim ažuriranjima automatski uvodi sigurnosna ažuriranja prema zadanim postavkama, istovremeno omogućavajući korisnicima da odustanu (kada je to izvodljivo, sigurnosna ažuriranja bi trebala biti odvojena od ažuriranja funkcija).
Kompanije moraju provesti procjenu cyber rizika prije nego što proizvod bude pušten u promet i tokom 10 godina ili njegovog očekivanog životnog ciklusa, te moraju obavijestiti agenciju EU za cyber sigurnost ENISA o svim incidentima u roku od 24 sata nakon što su saznali za njih, kao i poduzeti mjere za njihovo rješavanje. Pored toga, softverski proizvodi moraju nositi CE oznaku kako bi pokazali da ispunjavaju minimalni nivo provjere sajber sigurnosti.
Upravljači otvorenog koda morat će brinuti o sigurnosti svojih proizvoda, ali od njih se neće tražiti da poštuju ova pravila.
U zamjenu za to će morati poboljšati komunikaciju i razmjenu najboljih sigurnosnih praksi, koje već postoje, iako nisu uvijek bile dijeljene. Dakle, prva akcija je bila kreiranje projekta za njihovu standardizaciju, za cijelu industriju softvera otvorenog koda.
OSS industrija mora postati prava industrija
Jedna od najaktivnijih i najstrukturiranih organizacija tokom procesa revizije prve verzije Zakona o sajber sigurnosti bila je Eclipse Foundation. Stoga je bilo logično da zajednički projekat standardizacije najboljih sigurnosnih praksi u njemu nađe svoj „dom“ i bude otvoren za sve organizacije i projekte otvorenog koda.
Projekat se zove Open Regulatory Compliance Working Group . (Za tehničke aspekte, postoji GitLab repo .)
Projekat će ući u operativnu fazu početkom 2025. godine, spreman za Zakon o cyber otpornosti, koji će stupiti na snagu 2026. godine na nivou EU, a 2027. na nivou pojedinih država, uz nadu da će zakon pravilno transponovati na od zemlje do zemlje.
Projekat ima mnogo članova – velike kompanije kao što su Mercedes i Nokia, projekti Eclipse fondacije i neke fondacije otvorenog koda, uključujući The Document Foundation – i dobrodošli su dodatni.
Uvjeren sam u uspjeh inicijative. Mislim da je važno istaći kako su okolnosti – strah da smo blizu nestanka softverske industrije otvorenog koda – probudile ljude i dale do znanja kako su podjele iz prošlosti bile besmislene, posebno u kontekstu kompaktnost vlasničke softverske industrije.
Vjerojatno je pravo vrijeme da industrija softvera otvorenog koda postane prava industrija, sa zajedničkim najboljim praksama (umjesto tradicionalnog „moj dio je bolji od vašeg”), zajedničkom komunikacijom (umjesto tradicionalnog nedostatka komunikacije), i sposobnost iznošenja pitanja u zajedničkom interesu softvera otvorenog koda.
Izvor:Help Net Security
