Zeven vooraanstaande open source stichtingen hebben hun samenwerking aangekondigd om gemeenschappelijke specificaties en standaarden op te stellen ter voorbereiding op Europa’s Cyber Resilience Act (CRA), onlangs aangenomen door het Europees Parlement. Deze stap is bedoeld om bestaande best practices op het gebied van beveiliging in open source softwareontwikkeling op één lijn te brengen en ervoor te zorgen dat men klaar is voor de nieuwe wetgeving, die over drie jaar van kracht wordt.
De Apache Software Foundation, Blender Foundation, Eclipse Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation en Rust Foundation hebben hun krachten gebundeld om hun gezamenlijke middelen in te zetten. Hun doel is om de zorgen rond de softwareleveringsketen aan te pakken en de cyberweerbaarheid te verbeteren in de nasleep van de CRA.
Omdat naar schatting 90% van de moderne software uit open source componenten bestaat, wil de CRA cyberbeveiligingsnormen afdwingen voor met internet verbonden producten die binnen de Europese Unie worden verkocht. Het verplicht fabrikanten om op de hoogte te blijven van de nieuwste patches en beveiligingsupdates of boetes te krijgen, waaronder boetes tot €15 miljoen of 2,5% van de wereldwijde omzet.
De CRA werd aanvankelijk bekritiseerd door verschillende brancheorganisaties, waaronder open source-organisaties, en gaf aanleiding tot bezorgdheid over mogelijke aansprakelijkheid voor open source-ontwikkelaars. Latere herzieningen van de wetgeving boden echter verduidelijkingen en vrijstellingen voor niet-commerciële projecten, waardoor sommige zorgen werden weggenomen.
