欧盟网络韧性法案(Cyber Resilience Act,CRA)正在逐步走向全面实施,预计在2027年初正式生效。该法案旨在增强数字产品的安全性,提升网络世界的整体韧性。然而,对于依赖开源软件的企业和开源社区的维护者而言,这条法规带来的影响却远比预期复杂和深远。尤其是对于许多由志愿者运营的开源项目维护者来说,新的合规压力带来了难以承受的负担和法律疑虑,引发了业界的广泛关注与热议。 近日,著名开源项目libcurl的创始人Daniel Stenberg透露,他收到了一家财富500强企业的正式合规请求,要求其在两周内提供关于libcurl 7.87.0版本的详细安全信息和软件材料清单(SBOM)。令人关注的是,Stenberg与该企业没有任何合同关系,也并未有义务提供该类支持,但公司却以紧急合规需求为由施压,反映出企业对开源维护者期望的严重错位。
这个案例折射出CRA带来的一个深层次问题:随着法规推动企业提高自身供应链透明度和安全合规审查,企业越来越依赖上游开源项目提供相应的安全数据和支持。然而,大多数开源维护者都是无偿志愿者,他们既缺乏法律背景,也没有义务履行复杂的合规审计任务。企业期望与开源维护者之间由此出现了明显的利益和责任不匹配。 法规本身针对的是那些作为“数字产品制造商”的主体,要求他们维护软件材料清单、监控使用的第三方组件漏洞、确保默认安全配置以及提供后市场的安全支持和漏洞通报机制。对于企业来说,其在将开源组件打包进商业产品时,必须彻底了解和监控相关依赖,以满足法案要求。然而,CRA同时也将开源维护者置于模糊地带。
根据开放源代码安全基金会(Open Source Security Foundation, OpenSSF)的解读,许多独立贡献者和无偿发布开源代码的个人,并不直接属于CRA监管范围,尤其是在他们没有将软件作为商业化产品出售或成批提供时。这种解释虽为维护者提供了一定的心理安慰,但并非具有法律效力的权威解读。CRA的最终执行还将依赖欧盟监管机构和法院的判决,这让许多维护者对未来的法律责任感到不安。 另一个引发关注的现象是,CRA对“商业行为”的具体定义尚不明晰。部分开源维护者同时也提供付费咨询或项目定制服务,那么这类兼职商业活动是否让他们落入法规范围,仍存在较大争议。此外,企业在对供应链风险进行评估时,反复向维护者提出安全审计问卷和详细需求,而维护者却没有正式的合作关系和报酬,容易导致他们工作生活负担骤增。
面对上述挑战,开源社区和诸多组织纷纷发声呼吁对CRA的适用做出更明确的界定。多个知名组织如开源促进会(OSI)、Eclipse基金会和Linux基金会表达了对法规潜在负面影响的担忧,担心过多的合规负担将打击开源维护者的积极性,甚至可能促使企业因担忧合规风险而内部复制开源项目,减少对社区的贡献和支持。 为应对合规压力,部分维护者选择引导企业通过商业支持合同来获得所需服务,正如Stenberg建议其请求方转向wolfSSL商业支持合同一样。尽管这能一定程度缓解维护者的义务和时间压力,却没有解决法规和企业依赖关系的不平衡问题。 企业依赖由志愿者维护且资金匮乏的开源基础设施构建数字产品安全防线,暴露了整个生态体系的脆弱性。CRA在强化产品安全合规的同时,也强调了对软件供应链安全投入不足的现实问题。
更理想的方案应包括企业方面对开源项目的持续投资和支持,不仅限于安全补丁的贡献,也包括对维护者的资金补助和资源支持。 未来,随着CRA正式生效及其影响逐渐扩散,类似Stenberg的例子仅会增多,开源维护者将面临更大合规信息披露和责任承担的压力。行业监管机构、企业和开源社区之间的对话显得尤为关键,唯有明确责任划分、建立合理的支持机制,才能保护开源生态的活力与创新能力,并实现法规本意——保障数字产品和网络环境的安全韧性。 总之,欧盟网络韧性法案的推出是提升网络安全的重要进步,却也无意中掀起对开源维护者的新考验。开源社区和企业必须共同探索可持续发展的合作模式,防止合规负担将创新驱动力和生态系统稳定性削弱。对于维护者而言,合理设定边界、寻求商业支持以及积极参与法规解读过程,都是适应新时代网络安全法规的必经之路。
欧盟监管机构和政策制定者也应倾听社区声音,制定更加细致和具有可操作性的规章,平衡安全保障与生态可持续性的关系。未来数字世界的安全与繁荣,离不开开源维护者与企业的紧密协作,以及法规与社区的相互理解与支持。
