欧盟《网络弹性法案》部分条款本周正式生效,开源软件用户需警惕合规风险

欧盟《网络弹性法案》(CRA)首批条款于6月11日起正式生效,但据开源安全基金会(OpenSSF)最新调查显示,三分之二的受访者对该法案并不了解。CRA要求企业为开源软件使用设立专职安全管理角色,并提交软件物料清单(SBOM)。违规最高罚款可达1500万欧元或全球年营业额的2.5%,但仍有56%的受访者对此毫不知情。完整义务将于2027年12月生效,目前仅41%的厂商预计届时能完全合规。

根据一项最新调查,仍有大量企业对欧盟2024年《网络弹性法案》(CRA)知之甚少,而该法案的首批条款已于6月11日正式生效。

开源安全基金会(OpenSSF)开展的调查显示,三分之二的受访者表示对CRA并不了解。该法案旨在提升在欧盟市场销售的软硬件产品的安全水准。

CRA不仅对厂商提出了明确要求,同样对开源软件的使用方产生影响,这也是开源安全基金会持续关注这一议题的原因所在。根据法案规定,企业内部将新设"开源软件负责人"角色,专门负责确保组织所使用的软件具备完善的安全管理策略。

CRA首批生效的条款涉及成员国对合规评估机构的认定工作。此后,从9月11日起,制造商须开始向相关主管部门报告其产品中存在的安全漏洞。法案中的其余义务条款——包括大额罚款机制——将于2027年12月11日正式适用。

然而,即将到来的处罚并未引起企业足够重视:调查显示,56%的受访者不知道违规罚款最高可达1500万欧元,或全球年营业额的2.5%。

对于企业普遍缺乏认知这一现状,OpenSSF首席技术官克里斯托弗·罗宾逊(Christopher Robinson)深感困惑。"我们已就此话题持续发声了相当长一段时间,但为何仍有如此多的公司对法案的影响毫无意识,着实令我们百思不得其解。"他说。

他推测,部分企业可能认为欧盟针对软硬件安全的法规与自身无关——但这类问题很快将成为全球性议题。"日本等国家正在考虑制定类似法律。"他补充道。

误解的根源之一,可能在于企业误认为CRA仅约束供应商,而作为客户的自身不受法案约束。罗宾逊指出,这种认知存在明显偏差,尤其在CRA对开源软件的适用范围上更需引起重视。

"GitHub上大约有7亿个项目。如果你供职于一家银行,你几乎不可能清楚地知道其中哪些项目正在被使用。"他说。

根据法案要求,软件企业必须提供经过安全审核的软件物料清单(SBOM)。罗宾逊指出,向美国联邦政府提供产品的企业早已面临这一要求:"如果你在向全球最大的客户——美国政府——销售产品,就应该提供SBOM。"

网络安全顾问汉斯·斯塔迪(Hans Study)认为,CRA通过着力解决软件供应链问题,整体方向是正确的。"几乎每一款应用程序都存在依赖项,无论是免费开源软件、商业软件包,还是两者的混合体。长期以来,责任归属问题始终是个难题,各方互相推诿。CRA的意义在于,让那些构建、销售或将含有数字元素的产品推向市场的企业,更难以逃避应承担的责任。"他说。

Salt Security网络战略副总裁迈克尔·卡拉汉(Michael Callahan)则指出,AI在软件开发流程中的日益广泛应用,可能在未来引发新的合规挑战。"《网络弹性法案》的前提假设是企业清楚自己软件中包含哪些内容。但当AI编程助手生成大量代码时,这一假设就站不住脚了。AI助手从未读取过企业的安全策略、许可证义务或开源治理标准。它所生成的代码可能包含各种依赖项、代码模式或安全漏洞,而安全团队很难将这些问题追溯到某个具体决策或某位特定开发人员。"

对于企业而言,留给整改的时间已经所剩不多,而许多企业对自身的合规前景并不乐观。OpenSSF的调查数据显示,仅有41%的制造商预计能在2027年12月前实现全面合规,另有39%的受访者表示不知道自己何时才能达到合规要求。

潜在的巨额罚款或许能够唤醒企业的重视。罗宾逊表示,这一进程可能与GDPR的推行经历相似——几起大额罚款案例的出现,让企业开始认真对待相关法规。他还特别指出,罚款上限是按违规次数计算,而非按企业计算:"这意味着,一旦触发处罚,足以令中小企业元气大伤,也会对大型企业造成严重冲击。"所有企业都应充分了解这部法律,但从目前来看,整个行业距离真正的合规意识觉醒,还有很长的路要走。

Q&A

Q1:欧盟《网络弹性法案》对开源软件用户有哪些具体要求?

A:《网络弹性法案》要求企业内部设立"开源软件负责人"角色,负责确保组织所使用的软件具备完善的安全管理策略。此外,软件企业还必须提供经过安全审核的软件物料清单(SBOM)。即使企业本身是开源软件的使用方而非供应商,同样受到法案约束,不能认为合规义务仅由供应商承担。

Q2:违反《网络弹性法案》会面临多少罚款?

A:根据法案规定,违规罚款最高可达1500万欧元,或企业全球年营业额的2.5%,以较高者为准。值得注意的是,罚款上限是按违规次数计算的,而非按企业整体计算,这意味着多次违规可能导致罚款金额叠加,足以对中小企业造成毁灭性打击,对大型企业也会形成重大财务冲击。

Q3:AI编程助手的使用会如何影响企业在《网络弹性法案》下的合规状况?

A:《网络弹性法案》要求企业清楚掌握自身软件的组成内容。然而,AI编程助手在生成代码时,并不会参考企业的安全策略或开源治理标准,其生成的代码可能包含难以追溯的依赖项或安全漏洞,导致企业无法准确提供合规所要求的软件物料清单,从而增加合规风险。

来源:InfoWorld

0赞

好文章,需要你的鼓励

2026

06/17

13:08

分享

点赞

邮件订阅