Establecer y documentar una política de ciberseguridad para el software de código abierto

El artículo 24(1) del Reglamento (UE) 2024/2847 establece que los administradores de software de código abierto establecerán y documentarán una política de ciberseguridad para fomentar el desarrollo de un producto con elementos digitales seguro, incluidos los componentes de software de código abierto que proporcionan, y para gestionar las vulnerabilidades de forma eficaz de conformidad con el artículo 13(6) en la medida en que les resulte aplicable.

La política de ciberseguridad deberá abordar, como mínimo:

• las prácticas de desarrollo seguro aplicadas al software de código abierto;
• el proceso de gestión de vulnerabilidades, incluida la divulgación coordinada.

1. Política escrita: debe estar documentada (no puede ser únicamente una práctica informal)
2. Cobertura del desarrollo seguro: la política aborda cómo se considera la seguridad durante el desarrollo del componente OSS
3. Gestión de vulnerabilidades: la política cubre cómo se reciben, clasifican, abordan y divulgan las vulnerabilidades
4. Proceso de divulgación coordinada: proceso claro para que los investigadores de seguridad y los usuarios notifiquen vulnerabilidades (p. ej., SECURITY.md, política de divulgación de vulnerabilidades)
5. Mantenimiento actualizado: la política debe evolucionar a medida que cambien el proyecto y el panorama de amenazas

• Documento de política de seguridad publicado (p. ej., SECURITY.md en el repositorio de código fuente)
• Política de divulgación de vulnerabilidades o documento del proceso de divulgación coordinada
• Directrices de desarrollo seguro referenciadas o aplicadas por el proyecto
• Evidencia de que la política se sigue activamente (p. ej., CVE cerrados mediante el proceso de divulgación)