Établir et documenter une politique de cybersécurité pour les logiciels libres

L'article 24(1) du règlement (UE) 2024/2847 dispose que les gestionnaires de logiciels libres mettent en place et documentent une politique de cybersécurité pour favoriser le développement d'un produit comportant des éléments numériques sécurisé, y compris les composants de logiciels libres qu'ils fournissent, et pour gérer efficacement les vulnérabilités conformément à l'article 13(6) tel qu'il leur est applicable.

La politique de cybersécurité doit couvrir au minimum :

• les pratiques de développement sécurisé appliquées au logiciel libre ;
• le processus de gestion des vulnérabilités, y compris la divulgation coordonnée.

1. Politique écrite — doit être documentée (et non seulement une pratique informelle)
2. Couverture du développement sécurisé — la politique précise comment la sécurité est prise en compte lors du développement du composant OSS
3. Gestion des vulnérabilités — la politique couvre la réception, le triage, le traitement et la divulgation des vulnérabilités
4. Processus de divulgation coordonnée — processus clair permettant aux chercheurs en sécurité et aux utilisateurs de signaler les vulnérabilités (ex. SECURITY.md, politique de divulgation des vulnérabilités)
5. Maintien à jour — la politique doit évoluer en fonction du projet et de l'évolution des menaces

• Document de politique de sécurité publié (ex. SECURITY.md dans le dépôt de code source)
• Politique de divulgation des vulnérabilités ou document de processus de divulgation coordonnée
• Directives de développement sécurisé référencées ou appliquées par le projet
• Preuve que la politique est activement suivie (ex. CVE clôturés via le processus de divulgation)