EU Cyber Resilience Act is about to tell us how to code
a year ago
- #Open Source
- #EU Regulation
- #Cybersecurity
- 欧盟《网络弹性法案》(CRA)旨在对所有联网设备及在欧洲分发的大多数软件实施网络安全标准。
- 不遵守CRA可能导致巨额罚款(最高1500万欧元或年营业额的2.5%)。
- 关键软件和产品需通过第三方审计以确保符合新标准。
- 该法案同样适用于'纯软件'(包括开源项目),除非其完全脱离商业活动。
- 基本网络安全要求包括:默认安全配置、无已知可被利用漏洞、及时的安全更新。
- 法案强制要求漏洞披露政策,并规定软件必须最小化攻击面、确保数据机密性。
- 欧洲标准组织将制定具体合规标准,但该过程缺乏透明度且可能被大企业主导。
- CRA可能对创新(尤其是开源社区)产生负面影响,并阻碍非欧盟实体与欧盟开发者的合作。
- 对于Linux等广泛使用的开源项目由谁审计、嵌入式组件如何合规等问题仍存在不确定性。
- 该法案正在欧洲下次选举前加速推进,引发对仓促实施和意外后果的担忧。