Il Cyber-Resilience Act (CRA), un disegno di legge approvato dai parlamentari europei a luglio, è stato concepito con l’obiettivo di mitigare il rischio di violazioni dei dati e di attacchi informatici dannosi per i cittadini europei. Per raggiungere questo obiettivo, il CRA prevede l’implementazione di standard minimi di sicurezza per i prodotti tecnologici venduti nel mercato dell’Unione Europea, tra cui dispositivi IoT, desktop e smartphone.

Tuttavia, sta emergendo il fatto che l’applicazione di questi standard di sicurezza potrebbe danneggiare le comunità e il software open source (OSS) non commerciali. L’applicazione del CRA alle comunità OSS potrebbe mettere a rischio tali comunità, costituite principalmente da volontari, in quanto potrebbero essere considerate legalmente responsabili per eventuali incidenti di sicurezza legati al loro codice. Questo problema è amplificato dal fatto che queste comunità spesso non dispongono delle risorse finanziarie necessarie per adeguarsi ai rigorosi standard di sicurezza previsti dal CRA.

Il CRA ha l’obiettivo di garantire che le organizzazioni forniscano prodotti e servizi sufficientemente sicuri al pubblico, imponendo obblighi legali in termini di reportistica, documentazione, valutazioni dei rischi e patch di sicurezza. Le organizzazioni che non rispettano questi standard sono passibili di sanzioni pecuniarie.

La principale preoccupazione emersa, come spiega Alois Reitbauer, Chief Technology Strategist di Dynatrace, riguarda il trattamento del software open source (OSS) all’interno del CRA, poiché gran parte della catena di fornitura del software è basata proprio su OSS. Attualmente, il CRA richiede alle comunità OSS di rispettare gli stessi standard di sicurezza delle aziende commerciali, il che potrebbe mettere a rischio la loro sopravvivenza. Tuttavia, è importante notare che l’OSS è ampiamente utilizzato e rappresenta un pilastro fondamentale dell’industria tecnologica in Europa.

ospo

La soluzione proposta da Reitbauer è che il CRA dovrebbe spostare la responsabilità della sicurezza sulle entità commerciali che utilizzano il codice OSS nei propri prodotti e servizi”. Queste organizzazioni dovrebbero essere tenute a garantire la sicurezza dei componenti OSS utilizzati, soprattutto attraverso tre capacità chiave:

  • Analisi delle vulnerabilità: Monitoraggio costante per individuare vulnerabilità in un prodotto e nei suoi componenti, sia nel codice personalizzato che in quello open source. Questo richiede la capacità di comprendere immediatamente l’impatto potenziale di qualsiasi vulnerabilità rilevata e di risolverla rapidamente.
  • Rafforzamento delle applicazioni: Verifica dei prodotti per l’esposizione alle principali minacce alla sicurezza, come le vulnerabilità critiche, utilizzando elenchi di minacce di riferimento nel settore. Inoltre, è essenziale rilevare l’esecuzione di tali attacchi e bloccarli prima che causino danni.
  • Automazione della sicurezza: Implementazione di flussi di lavoro automatizzati per rilevare, rimediare e risolvere incidenti o vulnerabilità di sicurezza nei componenti OSS e non solo.

“Se questi standard venissero inclusi nel CRA, l’atto potrebbe in definitiva diventare un vantaggio significativo per lo sviluppo dell’Open Source. Anziché scoraggiare la partecipazione all’OSS, l’applicazione del CRA all’uso responsabile dell’OSS potrebbe spingere le organizzazioni a investire nella mappatura, nel riconoscimento e nella protezione dei componenti OSS che utilizzano nei loro prodotti”, conclude Reitbauer.