OBL-ART24-04Binding
要請に応じた技術文書の作成
- 対象者
- Open-source steward
- 出典引用
- Art. 24(4)
Last reviewed
わかりやすい説明
製造業者とは異なり、完全な附属書VIIの技術文書を積極的に準備する必要はない。しかし、市場監視当局が要請した場合は、 OSSコンポーネントに関する技術文書——セキュリティ特性、既知の脆弱性、開発プラクティスをカバーする——を作成できなければならない。 OSSの管理者への軽減された義務はオープンソースモデルを反映しているが、基礎となる情報を利用可能にしておく必要はある。
法律条文
規則(EU)2024/2847第24条第4項は、市場監視当局の要請に応じて、オープンソースソフトウェア管理者が管理するオープンソースソフトウェアコンポーネントについて附属書VIIに規定する技術文書を作成し最新の状態に保つことを規定している。
文書は市場監視当局の要請に応じて提供され、この規則の適用要件への適合性のアセスメントを可能にするものでなければならない。
主な要件
- 要請に応じた義務——製造業者とは異なり、OSSの管理者は附属書VIIの文書を積極的に維持する必要はないが、要請された場合は作成しなければならない
- 附属書VIIのスコープ——文書はコンプライアンスのアセスメントを可能にする十分な内容が必要;セキュリティ特性、開発プロセス、脆弱性対処をカバーする
- 最新の維持——一度作成したら文書は正確であり続けるよう維持されなければならない
- 適時の作成——要請後の合理的な期間内に作成されなければならない
必要となり得る証拠
- 管理するOSSコンポーネントとそのセキュリティ関連特性の目録
- セキュリティアーキテクチャのメモ、脅威モデル、または同等の設計文書
- コンポーネントの脆弱性データベースまたは既知の問題リスト
- 適用されたセキュアな開発プラクティスの記録