Redigere la documentazione tecnica su richiesta

L'articolo 24, paragrafo 4, del regolamento (UE) 2024/2847 prevede che, su richiesta di un'autorità di vigilanza del mercato, i gestori di software open-source redigano e mantengano aggiornata la documentazione tecnica di cui all'Allegato VII per i componenti software open-source che amministrano.

La documentazione è messa a disposizione dell'autorità di vigilanza del mercato su richiesta e deve consentire la valutazione della conformità ai requisiti applicabili del presente regolamento.

1. Obbligo su richiesta — a differenza dei fabbricanti, i gestori OSS non devono mantenere proattivamente la documentazione dell'Allegato VII, ma devono produrla quando richiesto
2. Ambito dell'Allegato VII — la documentazione deve essere sufficiente a consentire la valutazione della conformità; copre le proprietà di sicurezza, il processo di sviluppo e la gestione delle vulnerabilità
3. Mantenimento aggiornato — una volta prodotta, la documentazione deve essere mantenuta in modo da rimanere accurata
4. Produzione tempestiva — deve essere prodotta entro un tempo ragionevole dalla richiesta

• Inventario dei componenti OSS amministrati e delle relative proprietà rilevanti per la sicurezza
• Note sull'architettura di sicurezza, modelli di minaccia o documentazione di progettazione equivalente
• Database delle vulnerabilità o elenco dei problemi noti per i propri componenti
• Registrazioni delle pratiche di sviluppo sicuro applicate