根據一項最新調查,仍有大量企業對歐盟2024年《網路彈性法案》(CRA)知之甚少,而該法案的首批條款已於6月11日正式生效。
開源安全基金會(OpenSSF)開展的調查顯示,三分之二的受訪者表示對CRA並不了解。該法案旨在提升在歐盟市場銷售的軟硬體產品的安全水準。
CRA不僅對廠商提出了明確要求,同樣對開源軟體的使用方產生影響,這也是開源安全基金會持續關注這一議題的原因所在。根據法案規定,企業內部將新設"開源軟體負責人"角色,專門負責確保組織所使用的軟體具備完善的安全管理策略。
CRA首批生效的條款涉及成員國對合規評估機構的認定工作。此後,從9月11日起,製造商須開始向相關主管部門報告其產品中存在的安全漏洞。法案中的其餘義務條款——包括大額罰款機制——將於2027年12月11日正式適用。
然而,即將到來的處罰並未引起企業足夠重視:調查顯示,56%的受訪者不知道違規罰款最高可達1500萬歐元,或全球年營業額的2.5%。
對於企業普遍缺乏認知這一現狀,OpenSSF首席技術官克里斯多福·羅賓遜(Christopher Robinson)深感困惑。"我們已就此話題持續發聲了相當長一段時間,但為何仍有如此多的公司對法案的影響毫無意識,著實令我們百思不得其解。"他說。
他推測,部分企業可能認為歐盟針對軟硬體安全的法規與自身無關——但這類問題很快將成為全球性議題。"日本等國家正在考慮制定類似法律。"他補充道。
誤解的根源之一,可能在於企業誤認為CRA僅約束供應商,而作為客戶的自身不受法案約束。羅賓遜指出,這種認知存在明顯偏差,尤其在CRA對開源軟體的適用範圍上更需引起重視。
"GitHub上大約有7億個項目。如果你供職於一家銀行,你幾乎不可能清楚地知道其中哪些項目正在被使用。"他說。
根據法案要求,軟體企業必須提供經過安全審核的軟體物料清單(SBOM)。羅賓遜指出,向美國聯邦政府提供產品的企業早已面臨這一要求:"如果你在向全球最大的客戶——美國政府——銷售產品,就應該提供SBOM。"
網路安全顧問漢斯·斯塔迪(Hans Study)認為,CRA通過著力解決軟體供應鏈問題,整體方向是正確的。"幾乎每一款應用程式都存在依賴項,無論是免費開源軟體、商業軟體包,還是兩者的混合體。長期以來,責任歸屬問題始終是個難題,各方互相推諉。CRA的意義在於,讓那些構建、銷售或將含有數字元素的產品推向市場的企業,更難以逃避應承擔的責任。"他說。
Salt Security網路戰略副總裁麥可·卡拉漢(Michael Callahan)則指出,AI在軟體開發流程中的日益廣泛應用,可能在未來引發新的合規挑戰。"《網路彈性法案》的前提假設是企業清楚自己軟體中包含哪些內容。但當AI編程助手生成大量代碼時,這一假設就站不住腳了。AI助手從未讀取過企業的安全策略、許可證義務或開源治理標準。它所生成的代碼可能包含各種依賴項、代碼模式或安全漏洞,而安全團隊很難將這些問題追溯到某個具體決策或某位特定開發人員。"
對於企業而言,留給整改的時間已經所剩不多,而許多企業對自身的合規前景並不樂觀。OpenSSF的調查數據顯示,僅有41%的製造商預計能在2027年12月前實現全面合規,另有39%的受訪者表示不知道自己何時才能達到合規要求。
潛在的巨額罰款或許能夠喚醒企業的重視。羅賓遜表示,這一進程可能與GDPR的推行經歷相似——幾起大額罰款案例的出現,讓企業開始認真對待相關法規。他還特別指出,罰款上限是按違規次數計算,而非按企業計算:"這意味著,一旦觸發處罰,足以令中小企業元氣大傷,也會對大型企業造成嚴重衝擊。"所有企業都應充分了解這部法律,但從目前來看,整個行業距離真正的合規意識覺醒,還有很長的路要走。
Q&A
Q1:歐盟《網路彈性法案》對開源軟體用戶有哪些具體要求?
A:《網路彈性法案》要求企業內部設立"開源軟體負責人"角色,負責確保組織所使用的軟體具備完善的安全管理策略。此外,軟體企業還必須提供經過安全審核的軟體物料清單(SBOM)。即使企業本身是開源軟體的使用方而非供應商,同樣受到法案約束,不能認為合規義務僅由供應商承擔。
Q2:違反《網路彈性法案》會面臨多少罰款?
A:根據法案規定,違規罰款最高可達1500萬歐元,或企業全球年營業額的2.5%,以較高者為準。值得注意的是,罰款上限是按違規次數計算的,而非按企業整體計算,這意味著多次違規可能導致罰款金額疊加,足以對中小企業造成毀滅性打擊,對大型企業也會形成重大財務衝擊。
Q3:AI編程助手的使用會如何影響企業在《網路彈性法案》下的合規狀況?
A:《網路彈性法案》要求企業清楚掌握自身軟體的組成內容。然而,AI編程助手在生成代碼時,並不會參考企業的安全策略或開源治理標準,其生成的代碼可能包含難以追溯的依賴項或安全漏洞,導致企業無法準確提供合規所要求的軟體物料清單,從而增加合規風險。
