Le fondazioni open source collaborano per adeguarsi all’EU Cyber Resilience Act, mirando a proteggere i “custodi del software open source” e a rafforzare la sicurezza nell’ecosistema digitale.
L’ascesa del software open source, fondamentale per numerose piattaforme aziendali globali, presenta sfide per la regolamentazione, come dimostrato dall’EU Cyber Resilience Act (CRA). Il CRA punta a mantenere aggiornati i prodotti connessi a Internet con gli ultimi aggiornamenti di sicurezza, ma la bozza originale non considerava adeguatamente il software open source nella catena di fornitura, esponendo i developer open source a potenziali responsabilità per vulnerabilità di sicurezza.
Collaborazione per linee guida adatte
Sette fondazioni open source hanno unito le forze per sviluppare linee guida adeguate per l’open source come parte della catena di fornitura. Questo sforzo congiunto mira a proteggere i developer che rilasciano il loro lavoro senza incentivi finanziari, rivedendo il CRA per includere terminologia specifica per coloro che lavorano per organizzazioni senza scopo di lucro o in modo indipendente come “custodi del software open source”.
Le organizzazioni coinvolte includono la Apache Software Foundation, Blender Foundation, Eclipse Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation e Rust Foundation.
Riconoscimento dei custodi del software open source
Le modifiche apportate al CRA, ora riconoscono i “custodi del software open source” come attori economici all’interno della catena di fornitura del software. Questo rappresenta un passo importante nel riconoscimento del ruolo svolto da fondazioni e altre forme di custodi comunitari nel panorama legislativo globale, come sottolineato da Mike Milinkovich, direttore esecutivo della Eclipse Foundation.
Implicazioni per il futuro
Questo sviluppo segna un momento significativo per l’ecosistema open source, garantendo che i contributi open source siano adeguatamente riconosciuti e protetti all’interno di quadri legislativi come l’EU Cyber Resilience Act. Inoltre, rafforza l’importanza della sicurezza e della responsabilità nella catena di fornitura del software, incoraggiando un approccio più collaborativo e inclusivo per affrontare le sfide della resilienza cibernetica.
