Open source al centro dell’Act di Resilienza Cibernetica dell’UE
05/04/2024
Le fondazioni open source stanno collaborando per creare specifiche e standard comuni per l’Act di Resilienza Cibernetica (CRA) dell’Unione Europea. Questa legislazione è stata adottata dal Parlamento Europeo il mese scorso e entrerà in vigore a partire dal 2027.
L’importanza delle fondazioni open source
Le fondazioni open source coinvolte in questa collaborazione includono la Apache Software Foundation, la Blender Foundation, la Eclipse Foundation, la OpenSSL Software Foundation, la PHP Foundation, la Python Software Foundation e la Rust Foundation. Queste fondazioni hanno deciso di unire le loro risorse per garantire che le migliori pratiche di sicurezza nel campo dello sviluppo software open source vengano implementate e che la catena di fornitura del software sia adeguata alle nuove disposizioni legislative.
L’impatto dell’Act di Resilienza Cibernetica
Si stima che tra il 70% e il 90% del software attuale sia composto da componenti open source, molti dei quali sono sviluppati gratuitamente da programmatori nel loro tempo libero. L’Act di Resilienza Cibernetica è stato proposto quasi due anni fa con l’obiettivo di codificare le migliori pratiche di sicurezza informatica per i prodotti hardware e software venduti nell’Unione Europea. L’obiettivo è quello di costringere tutti i produttori di prodotti connessi a Internet a mantenere costantemente aggiornati i loro prodotti con le ultime patch e aggiornamenti di sicurezza, pena sanzioni che possono arrivare fino a 15 milioni di euro o il 2,5% del fatturato globale.
Tuttavia, la proposta di legge ha suscitato critiche da parte di numerose organizzazioni del settore open source. Queste organizzazioni hanno espresso preoccupazione per il fatto che i programmatori open source potrebbero essere ritenuti responsabili delle vulnerabilità di sicurezza presenti nei prodotti successivi, scoraggiando così la partecipazione dei volontari a progetti critici.
L’inclusione delle fondazioni open source
Nonostante le preoccupazioni iniziali, la versione definitiva della legislazione ha introdotto delle protezioni per il sttore open source. La revisione della legislazione ha chiarito le esclusioni per i progetti open source e ha riconosciuto il ruolo delle “organizzazioni per la tutela dell’open source” come parte della catena di fornitura del software.
Secondo Mike Milinkovich, direttore esecutivo della Eclipse Foundation, questa è la prima legge a livello globale che riconosce il ruolo delle fondazioni e delle altre forme di gestione comunitaria nel settore del software .
Gli obiettivi della collaborazione
Sebbene la legislazione sia già stata approvata, non entrerà in vigore fino al 2027. Ciò darà a tutte le parti coinvolte il tempo necessario per soddisfare i requisiti e per definire i dettagli specifici di ciò che ci si aspetta da loro. Le sette fondazioni open source stanno unendo le loro forze per affrontare questa sfida
Secondo Milinkovich, ci sarà molto lavoro da fare nei prossimi tre anni per implementare l’Act di Resilienza Cibernetica. Questa legge è la prima al mondo a regolamentare l’intera industria del software, e avrà un impatto non solo sulla comunità open source, ma anche su startup, piccole imprese e grandi player del settore.
La documentazione nel settore open source
Uno dei problemi che affliggono molti progetti open source è la mancanza di documentazione. Questo rende difficile supportare le verifiche e sviluppare processi di sicurezza coerenti. Le diverse iniziative open source spesso utilizzano metodologie e terminologie diverse. La collaborazione tra le fondazioni open source mira a trattare lo sviluppo di software open source come una singola entità soggetta agli stessi standard e processi.
Inoltre, altre proposte di regolamentazione, come il Securing Open Source Software Act negli Stati Uniti, metteranno sotto ulteriore scrutinio le fondazioni open source e i “tutori dell’open source” per il loro ruolo nella catena di fornitura del software.
