En rad stora öppenkodsprojekt ska standardisera praxis för utveckling av cybersäker kod. Initiativet tas för att möta kraven i EU:s mjukvarudirektiv CRA (Cyber Resilience Act).
Öppen källkod måste kunna kvalificera sig för de säkerhetsstämplar som krävs i EU från och med år 2027. Företag och organisationer kommer att bli tvingade i lag att ställa CRA-krav på kod de använder.
Därför samlar sig nu sju stora öppenkodsprojekt för att standardisera ”specifikationer för säker programvaruutveckling”. De ska definiera så kallade best practices – god praxis – för utveckling av cybersäker kod.
Grundarna är organisationerna bakom Apache, Blender, Open SSL, PHP, Python, Rust och Eclipse. Samarbetet organiseras som en arbetsgrupp inom den sistnämnda.
– Lagstiftning har introducerat ett brådskande behov av processstandarder för cybersäkerhet, skriver Eclipse i ett pressmeddelande.
Alla bjuds in att delta, från företag till forskare. De resulterande specifikationerna blir fritt tillgängliga.
Samarbetet argumenterar inte att god praxis saknas inom öppenkodsprojekt idag, men de vill addera samordning och dokumentation.
– Vi utgår från att cybersäkerhetsprocesser som redan finns i olika öppenkodsprojekt är en användbar utgångspunkt för att utveckla de cybersäkerhetsprocesser som krävs för att följa lagstiftningen.
CRA adresserar öppen källkod explicit bland annat genom att definiera en ny typ av ekonomisk aktör kallad "Open Source Software Steward". Den aktören behöver standariserade riktlinjer, och det är vad samarbetet vill definiera.
Även USA väntas komma att presentera regelverk motsvarande CRA.