מהי אחריות ההנהלה על שימוש בקוד פתוח בעידן ה-CRA?

הרגולציה האירופית החדשה (CRA) משנה את כללי המשחק עבור יצרנים ומשווקים ● המאמר מפרט את חובות התאימות, חשיבות ה-SBOM והאחריות המשפטית המוטלת על ארגונים המשלבים קוד פתוח במוצריהם

צביקה רונן, טכנולוג ומשפטן, מומחה לניהול השימוש בקוד פתוח בחברת פוסאוור.

הרגולציה החדשה של האיחוד האירופי (EU) משנה את היחס העסקי לקוד פתוח. רכיבי קוד פתוח אינם עוד "חומר גלם חינמי" שנבלע בתוך מוצר תוכנה או חומרה, אלא חלק משרשרת אספקה שיש להכיר, לתעד, לבדוק ולתחזק. 

לכן, ה-CRA (ר"ת Cyber Resilience Act) חל על מוצרים עם רכיבים דיגיטליים המשווקים באיחוד האירופי, לרבות תוכנה, חומרה, firmware, רכיבי IoT, ציוד תקשורת ומוצרים המחוברים באופן ישיר או עקיף לרשת האינטרנט או למכשיר אחר.

ניהול קוד פתוח, SBOM ושרשרת אספקה אינו פרויקט טכני נקודתי, אלא רכיב בסיסי בציות רגולטורי, ניהול סיכונים ואחריות מוצר באירופה

הקוד הפתוח נמצא בלב האתגר עבור ארגונים שמייצרים מוצרים. מצד אחד, רגולציית ה-CRA מכירה בכך שלא נכון להטיל על מפתחי קוד פתוח וולונטריים את אותה אחריות המוטלת על יצרן מוצר מסחרי. מצד שני, כאשר חברה משלבת רכיבי קוד פתוח במוצר המיועד לאירופה, האחריות אינה נשארת אצל המשתמשים, אלא עוברת בעיקר ליצרן המסחרי ולמשווק של המוצר לשוק.

יש להיערך לקראתו. חוק האירופי לחוסן לסייבר, ה-CRA.

יש להיערך לקראתו. חוק האירופי לחוסן לסייבר, ה-CRA. צילום: FrankHH, Shutterstock

מהו גוף OSS Steward? 

בהקשר זה מופיע מושג חדש: Open Source Software (OSS) Steward. כאן מדובר בגוף המסייע לקיים ולתחזק פרויקט קוד פתוח משמעותי; למשל, ארגון המנהל את תהליכי הפיתוח, תומך בלקוחות ומסייע בטיפול בפגיעויות, אך אינו בהכרח מוכר את המוצר המסחרי הסופי.

ה-CRA מטיל על גופים כאלה חובות מצומצמות יותר מאלו של יצרן מסחרי, בעיקר סביב מדיניות אבטחה, טיפול בפגיעויות ושיתוף פעולה עם הרשויות. עם זאת, החובה המרכזית לעמידה בדרישות נותרת אצל היצרן המסחרי המשלב את הרכיב במוצר ואצל הארגון המשווק את המוצר באירופה.

כאן נדרש להתייחס ל-SBOM (ר"ת Software Bill of Materials, ובעברית: רשימת רכיבי תוכנה) ביתר רצינות. זו אינה רק רשימת רכיבים טכנית, אלא כלי ניהולי המאפשר לדעת אילו רכיבי תוכנה וקוד פתוח קיימים במוצר, באילו גרסאות, מה מקורם, האם הם מתוחזקים והאם קיימות בהם פגיעויות. ה-CRA מתייחס לצורך לזהות ולתעד רכיבים במוצר, לרבות באמצעות SBOM, כדי לאפשר ניתוח פגיעויות וניהול סיכוני שרשרת אספקה.

התחייבויות בעלי התפקידים: היצרן נושא בחובות המרכזיות של תכנון מאובטח, הערכת סיכונים, תיעוד, עדכוני אבטחה, טיפול בפגיעויות, סימון CE (התאמה אירופית) ודיווח. היבואן והמפיץ נדרשים לוודא שהמוצר עומד בדרישות לפני שיווקו באירופה, ובנסיבות מסוימות (למשל שינוי מהותי או שיווק תחת מותג עצמאי), הם עלולים להיחשב כיצרנים. גוף תומך קוד פתוח נושא בחובות מצומצמות יותר.

לוחות הזמנים מחייבים היערכות כבר עכשיו: ה-CRA נכנס לתוקף ב-10 בדצמבר 2024; הוראות לגבי גופי הערכת התאמה חלות מ-11 ביוני 2026; חובות דיווח על פגיעויות מנוצלות ואירועים חמורים יחולו מ-11 בספטמבר 2026; והתחולה המלאה תחל ב-11 בדצמבר 2027.

נדרשת התייחסות מיידית: ניהול קוד פתוח, SBOM ושרשרת אספקה אינו פרויקט טכני נקודתי, אלא רכיב בסיסי בציות רגולטורי, ניהול סיכונים ואחריות מוצר באירופה. 

הכותב הוא טכנולוג ומשפטן, מומחה לניהול השימוש בקוד פתוח בחברת פוסאוור (FOSSAware)

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים