Tujuh yayasan open source bersatu untuk menciptakan spesifikasi dan standar umum untuk Undang-Undang Ketahanan Siber (Cyber Resilience Act/CRA) Eropa, peraturan yang diadopsi oleh Parlemen Eropa bulan lalu.
Itu Yayasan Perangkat Lunak Apache, Yayasan Blender, Yayasan Gerhana, Yayasan Perangkat Lunak OpenSSLYayasan PHP, Yayasan Perangkat Lunak PythonDan Yayasan Karat mengungkapkan mereka niat untuk berkumpul sumber daya kolektif mereka dan menggabungkan praktik-praktik terbaik keamanan yang ada dalam pengembangan perangkat lunak sumber terbuka — dan memastikan bahwa rantai pasokan perangkat lunak yang banyak difitnah mampu melakukan tugasnya ketika undang-undang baru ini mulai berlaku dalam tiga tahun.
Komponen
Diperkirakan begitu antara 70% dan 90% Perangkat lunak saat ini terdiri dari komponen sumber terbuka, banyak di antaranya dikembangkan secara gratis oleh pemrogram sesuai waktu dan biaya mereka sendiri.
Undang-Undang Ketahanan Siber (Cyber Resilience Act) pertama kali diperkenalkan dalam bentuk rancangan hampir dua tahun yang lalu, dengan tujuan untuk menyusun praktik keamanan siber terbaik untuk produk perangkat keras dan perangkat lunak yang dijual di seluruh Uni Eropa. Ini dirancang untuk memaksa semua produsen produk apa pun yang terhubung ke internet untuk selalu mengetahui semua patch dan pembaruan keamanan terkini, dengan hukuman yang diterapkan jika ada kekurangan.
Sanksi ketidakpatuhan ini mencakup denda hingga €15 juta, atau 2,5% dari omset global.
Undang-undang tersebut pada awalnya memicu kritik keras dari banyak badan pihak ketiga, termasuk lebih dari selusin badan industri sumber terbuka yang tahun lalu menulis surat terbuka yang mengatakan bahwa Undang-undang tersebut dapat memiliki “efek mengerikan” pada pengembangan perangkat lunak. Inti dari keluhan ini berpusat pada bagaimana pengembang open source “hulu” dapat dianggap bertanggung jawab atas cacat keamanan pada produk hilir, sehingga menghalangi sukarelawan pengelola proyek untuk mengerjakan komponen penting karena takut akan hukuman hukum (hal ini serupa dengan kekhawatiran yang banyak terjadi di sekitar UU AI UE yang mendapat lampu hijau bulan lalu).
Kata-kata dalam peraturan CRA memang menawarkan beberapa perlindungan untuk ranah open source, sepanjang pengembang yang tidak tertarik untuk mengkomersialkan karya mereka secara teknis dikecualikan. Namun, bahasa yang digunakan terbuka untuk ditafsirkan dalam kaitannya dengan apa sebenarnya yang termasuk dalam kategori “aktivitas komersial” – apakah sponsorship, hibah, dan bentuk bantuan keuangan lainnya akan diperhitungkan, misalnya?
Beberapa perubahan pada teks akhirnya dilakukan, dan undang-undang direvisi secara substansial mengatasi kekhawatiran tersebut melalui klarifikasi pengecualian proyek sumber terbuka.
Meskipun peraturan baru ini telah disahkan, peraturan ini baru akan berlaku pada tahun 2027, sehingga memberikan waktu bagi semua pihak untuk memenuhi persyaratan dan menyelesaikan beberapa rincian lebih lanjut tentang apa yang diharapkan dari peraturan tersebut. Dan inilah yang menyatukan ketujuh yayasan open source saat ini.
Dokumentasi
Cara berkembangnya banyak proyek sumber terbuka berarti bahwa proyek tersebut sering kali memiliki dokumentasi yang tidak merata (jika ada) sehingga menyulitkan audit pendukung, serta menyulitkan produsen dan pengembang hilir untuk mengembangkan proses CRA mereka sendiri.
Banyak inisiatif open source dengan sumber daya yang lebih baik telah memiliki standar praktik terbaik yang layak, terkait dengan hal-hal seperti pengungkapan kerentanan yang terkoordinasi Dan tinjauan sejawat, namun setiap entitas mungkin menggunakan metodologi dan terminologi yang berbeda. Dengan menjadi satu kesatuan, hal ini akan mengarah pada perlakuan terhadap pengembangan perangkat lunak open source sebagai satu “hal” yang terikat oleh standar dan proses yang sama.
Masukkan peraturan lain yang diusulkan, termasuk Undang-Undang Pengamanan Perangkat Lunak Sumber Terbuka di AS, dan jelas bahwa berbagai yayasan dan “pengelola sumber terbuka” akan mendapat pengawasan lebih ketat atas peran mereka dalam rantai pasokan perangkat lunak.
“Meskipun komunitas dan yayasan open source pada umumnya mematuhi dan secara historis telah menetapkan praktik terbaik industri seputar keamanan, pendekatan mereka sering kali kurang selaras dan dokumentasinya komprehensif,” Eclipse Foundation tulis dalam postingan blog hari ini. “Komunitas open source dan industri perangkat lunak yang lebih luas kini memiliki tantangan yang sama: undang-undang telah memperkenalkan kebutuhan mendesak akan standar proses keamanan siber.
Kolaborasi baru ini, meskipun awalnya terdiri dari tujuh yayasan, akan dipelopori di Brussel oleh Eclipse Foundation, yang merupakan rumahnya ratusan proyek sumber terbuka individual mencakup alat pengembang, kerangka kerja, spesifikasi, dan banyak lagi. Anggota yayasan ini meliputi Huawei, IBM, Microsoft, Red Hat, dan Oracle.
