OBL-ART24-01Binding
オープンソースソフトウェアに関するサイバーセキュリティポリシーの策定および文書化
- 対象者
- Open-source steward
- 出典引用
- Art. 24(1)
Last reviewed
わかりやすい説明
OSSの管理者として、プロジェクトがどのようにセキュアなソフトウェアを開発し、セキュリティ上の脆弱性が発見されたときにどのように対処するかをカバーする 書面のサイバーセキュリティポリシーを持たなければならない。これは企業スタイルのコンプライアンス文書である必要はない——SECURITY.mdファイル、 プロジェクトのセキュリティポリシー、または類似したものでよい——しかし存在し文書化されていなければならない。ポリシーはセキュアな開発プラクティスと脆弱性対処の両方を対象としなければならない。
法律条文
規則(EU)2024/2847第24条第1項は、オープンソースソフトウェア管理者が、提供するオープンソースソフトウェアコンポーネントを含むデジタル要素を含む製品のセキュアな開発を促進し、自らに適用される第13条第6項に従って脆弱性を効果的に対処するためのサイバーセキュリティポリシーを策定・文書化することを規定している。
サイバーセキュリティポリシーは少なくとも以下を対処しなければならない:
- OSSに適用されるセキュアな開発プラクティス;
- 協調的開示を含む脆弱性対処プロセス。
主な要件
- 書面ポリシー——文書化されていなければならない(単に非公式なプラクティスであってはならない)
- セキュアな開発のカバレッジ——ポリシーはOSSコンポーネントの開発中にセキュリティがどのように考慮されるかを対処する
- 脆弱性対処——ポリシーは脆弱性の受付、トリアージ、対処、開示をカバーする
- 協調的開示プロセス——セキュリティ研究者とユーザーが脆弱性を報告するための明確なプロセス(例:SECURITY.md、脆弱性開示ポリシー)
- 最新の維持——ポリシーはプロジェクトと脅威の状況の変化に合わせて進化すべきである
必要となり得る証拠
- 公開されたセキュリティポリシー文書(例:ソースリポジトリのSECURITY.md)
- 脆弱性開示ポリシーまたは協調的開示プロセス文書
- プロジェクトが参照または適用するセキュアな開発ガイドライン
- ポリシーが積極的に遵守されていることの証拠(例:開示プロセスを経てクローズされたCVE)