Istituire e documentare una politica di cybersicurezza per il software open-source

L'articolo 24, paragrafo 1, del regolamento (UE) 2024/2847 prevede che i gestori di software open-source predispongano e documentino una politica di cybersicurezza per promuovere lo sviluppo di un prodotto sicuro con elementi digitali, inclusi i componenti software open-source che forniscono, e per gestire le vulnerabilità in modo efficace conformemente all'articolo 13, paragrafo 6, nella misura in cui si applica a loro.

La politica di cybersicurezza affronta, come minimo:

• le pratiche di sviluppo sicuro applicate al software open-source;
• il processo di gestione delle vulnerabilità, inclusa la divulgazione coordinata.

1. Politica scritta — deve essere documentata (non solo una prassi informale)
2. Copertura dello sviluppo sicuro — la politica affronta come la sicurezza è considerata durante lo sviluppo del componente OSS
3. Gestione delle vulnerabilità — la politica copre come le vulnerabilità vengono ricevute, valutate, affrontate e divulgate
4. Processo di divulgazione coordinata — processo chiaro per ricercatori di sicurezza e utenti per segnalare vulnerabilità (es. SECURITY.md, politica di divulgazione delle vulnerabilità)
5. Mantenuta aggiornata — la politica deve evolversi con il progetto e il panorama delle minacce

• Documento di politica di sicurezza pubblicato (es. SECURITY.md nel repository del codice sorgente)
• Politica di divulgazione delle vulnerabilità o documento del processo di divulgazione coordinata
• Linee guida per lo sviluppo sicuro citate o applicate dal progetto
• Prove che la politica viene seguita attivamente (es. CVE chiusi tramite il processo di divulgazione)