Logiciel libre et open source (FOSS)
Un logiciel dont le code source est mis à disposition sous une licence accordant aux utilisateurs les droits d'utiliser, copier, modifier et distribuer le logiciel. Les composants FOSS intégrés dans un produit commercial entrent dans le champ d'application du CRA pour le fabricant qui les intègre. Le développement et la fourniture non commerciaux de FOSS sont généralement hors champ ; les gestionnaires d'OSS bénéficient d'un régime adapté.
Citations sources
Voir aussi
Texte réglementaire
L'article 3(48) du règlement (UE) 2024/2847 définit le logiciel libre et open source comme :
« un logiciel dont le code source est partagé ouvertement et qui est mis à disposition dans le cadre d'une licence libre et open source permettant à tous les utilisateurs d'exécuter, copier, distribuer, étudier, modifier et améliorer le logiciel ».
Champ d'application du CRA pour le FOSS
| Rôle | Traitement au titre du CRA |
|---|---|
| Développeur FOSS non commercial | Hors champ (Art. 2(1)) |
| Développeur FOSS avec modèle commercial | Dans le champ en tant que fabricant |
| Gestionnaire d'OSS (fondation/projet) | Obligations réduites en vertu de l'Art. 24 |
| Entreprise intégrant du FOSS dans un produit commercial | Dans le champ en tant que fabricant |
SBOM et FOSS
L'exigence SBOM est particulièrement pertinente pour le FOSS. Les fabricants doivent documenter leurs dépendances de premier niveau, qui comprennent fréquemment des bibliothèques open source connues, permettant une évaluation rapide de l'impact de nouvelles vulnérabilités.