西门子爱立信施耐德电气等：欧盟《网络安全弹性法案(CRA)》或破坏供应链-CSDN博客

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

本周一，电子制造商西门子、爱立信、施耐德电气以及行业团体 DigitalEurope 指出，针对智能设备网络安全风险的《网络弹性法案 (CRA)》可能会破坏供应链，其影响规模不亚于新冠期间。实际上自该草案推出后，就引发热议。本文将简述该法案草案要点，并简析该法案对开源社区以及软件供应链带来的潜在影响。

《网络弹性法案 (CRA)》草案推出

该法案草案由欧洲议会于2022年9月15日推出，是《2020年欧盟网络安全战略》的一部分，旨在补充现有的欧盟法规《欧盟网络安全法案》和《NIS2指令》。目前正处于反馈收集阶段，内容与正式立法后可能会有所不同。当地时间11月8日，欧盟国家将和欧盟立法机构就CRA法案草案细节进行辨析。本文所提到的电子制造商发布联合信函发生在辨析的两天前。

该草案的目的是为在欧盟营销的设备和软件设立网络安全要求。在欧盟市场投放数字化产品的任何人都必须为与漏洞报送和合规的其它相关义务负责，如修复已发现漏洞、提供软件更新以及审计和认证产品等。如不满足这些要求，则和GDPR法案类似，相关人员将面临最高1500万欧元或全球年度收入的2.5%的行政处罚。除了巨额赔偿外，违反CRA的企业也面临“重大声誉损害”风险。

该法案将很多安全责任转移到软件开发者身上，而不是软件用户。这样做的合理性在于两个假设：首先，软件开发者最了解如何缓解漏洞并分发补丁；第二，在源头缓解措施要比要求用户这样做更容易。作为开发者，如何判断是否在覆盖范围以及相应义务是什么？

是否涵盖在内？

CRA 法案的本质在于它对软件生产商即在欧盟发布可用代码的对象规定了义务，因此该法案实际上涵盖了在互联网上发布软件的任何人，不管软件是否为开源软件，不管开发者是否位于欧盟——因为软件用户很可能来自欧盟。

如果你是如下身份，则在CRA法案覆盖范围内：

开源软件个人开发者：你很可能不在CRA法案要求范围内，即使你可能偶尔会接受捐赠。但如果你常规收费或者接受商业实体（如，你从事开源咨询业务）的经常性捐赠，则可能在法案覆盖范围内。
开发开源软件的非营利性基金会：你可能需要遵守CRA要求。不过CRA可能会有一些潜在修订，如果这些修订获得通过，那么“完全去中心化开发模式”的某些开源项目可能被排除在外。
开发、变现或支持开源软件的私营企业：你很可能涵盖在内。

最后，需要注意的是，上述涉及开源社区中的常见人员，不过如果你开发的是闭源软件，那么也适用于 CRA 法案。例如，如果你是开发闭源软件的私营企业，那么也将可能被纳入范围。

CRA 要求的义务是什么？

CRA 基于软件项目的关键程度来提出义务要求。某些软件类别（开源和闭源）被归类于“关键”并进一步被归类于“一类”和“二类”。根据CRA的要求，被认为是“关键”的软件面临更多的要求。如下是对各类软件的概述：

接着我们看CRA的义务。CRA 规定的开发者义务共分四大类：风险评估、文档、符合性评估以及漏洞报送。如下是义务概述（注意“关键”产品所增加的义务）：

因此，如果判断自己的项目应遵循CRA法案，则需要执行风险评估，确保满足某些网络安全要求；发布全面文档，内含欧盟符合性声明和一份SBOM；执行符合性评估；以及持续维护活跃漏洞报送的流程。

CRA与开源软件风险

对于开源社区而言，以上要求令人费解和焦虑。本质问题在于，CRA 关于软件制造商所作出的假设不一定适用于开源软件开发人员。后者不管是个体开发者还是非营利性基金会，都不知道他们所开发软件的用户是谁。因此一些义务要求如漏洞修复和向下游用户提供补丁可能并不适用于作为免费软件提供者的开发者，除非摒弃开源开发模式。

而法案也意识到应用于开源项目的困难所在，在附录10中豁免了不参与“商业活动”的非营利性开源贡献者们。然而，“商业活动”这一说法可能引发一些担忧。开源项目的维护人员或非营利性基金会如果经常接受费用或捐赠，那么仍然受制于该法案的要求。法案对于捐赠的立场可能会赶走更多的开源贡献，增加项目开源的法律风险，促使企业将更多软件变为专有和闭源性质。开源社区希望能有更多灵活性，而非欧盟则希望通过“很强硬的”立法形式实现目标。

CRA与供应链风险

CRA 要求软件制造商在24小时内将遭活跃利用的漏洞披露给ENISA。ENISA 按照要求需要将漏洞详情提交给成员国的计算机安全事件响应团队和市场监控机构。这一要求可能会伤害希望以产品安全为优先级的厂商。厂商一般将这些具有严重安全后果的漏洞视作机密，而漏洞修复会花费数周甚至数个月的时间。这一要求可能会促使厂商采取“粗浅”而非“深入”的修复方案，从而导致产品更不安全，违背了欧盟立法者缓解安全风险的本意。另外该法案也会使安全研究员因为涉及政府通知而减少研究工作。

这项法案也适用于联网设备的进口商和分销商。继一系列重大网络安全事件为企业造成损失并要求获得巨额勒索金后，关于网络安全风险的担忧蹿升。

企业的首席执行官们向欧盟行业负责人 Thierry Breton 和欧盟数字化负责人 Vera Jourova 发出联合信函指出，“目前法案内容具有制造瓶颈的风险，将破坏该单一市场。”他们指出，这种破坏将冲击数百万产品，洗衣机、玩具、网络产品、加热泵、冷却机、高科技制造等等不一而足。因为缺少独立专家开展评估和繁文缛节可能会造成延迟。信函中提到，“我们可能因此而在欧洲供应链中制造新冠式的堵塞，破坏单一市场以及我们的竞争力。”

该联名信的签署人还包括诺基亚、博世、软件公司ESET的首席执行官们。

信函指出，应当大量削减受制于该法案的高风险产品清单名录，制造商应当允许被修复已知漏洞风险，而不是首先进行评估。它们还希望获得更多灵活性，自我评估网络安全风险。

该信函发布的第3天，即当地时间11月8日，欧盟国家将和欧盟立法机构就CRA法案草案细节进行掰扯。

我们将持续关注该法案的发展动态。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2023中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

奇安信入选全球《静态应用安全测试全景图》代表厂商

在公司电脑登录个人谷歌账户，Okta 支持系统受陷134家客户受影响

因第三方遭攻击，Okta的5000名员工个人数据被泄露