L’article publié par socket.dev met en lumière les implications du Cyber Resilience Act (CRA) de l’UE, qui entrera en vigueur début 2027, sur les mainteneurs de logiciels open source.
Ce règlement impose aux fabricants de produits numériques vendus dans l’UE de mettre en place un suivi des vulnérabilités, des capacités de réponse aux incidents et des déclarations de la chaîne d’approvisionnement, y compris un Software Bill of Materials (SBOM). Les entreprises utilisant des composants open source, tels que libcurl, doivent effectuer une diligence raisonnable sur leurs dépendances, ce qui conduit à l’envoi de questionnaires de sécurité formels aux mainteneurs en amont.
Un exemple illustratif est la demande formelle d’une entreprise du Fortune 500 adressée à Daniel Stenberg, créateur de cURL, pour des informations de sécurité détaillées avec un délai de deux semaines. Cela montre comment les entreprises traitent les mainteneurs bénévoles comme des fournisseurs obligés de fournir des réponses prêtes pour l’audit.
Bien que les directives de l’OpenSSF suggèrent que la plupart des mainteneurs OSS non rémunérés ne sont pas directement soumis aux obligations du CRA, les entités commerciales utilisant des logiciels open source doivent se conformer aux nouvelles exigences de surveillance des vulnérabilités et de divulgation de la chaîne d’approvisionnement, créant un décalage entre l’intention réglementaire et la structure de l’écosystème open source.
Cet article est une analyse technique qui vise à informer sur les défis de conformité auxquels font face les mainteneurs open source dans le cadre de la nouvelle législation européenne.
🔗 Source originale : https://socket.dev/blog/oss-maintainers-feeling-the-weight-of-eu-cyber-resilience-act