오픈소스 소프트웨어에 대한 사이버 보안 정책 수립 및 문서화

규정(EU) 2024/2847 제24조 제1항은 오픈소스 소프트웨어 관리자가 제공하는 오픈소스 소프트웨어 구성 요소를 포함하여 안전한 디지털 요소가 포함된 제품 개발을 촉진하고, 해당 관리자에게 적용되는 제13조 제6항에 따라 취약점을 효과적으로 처리하기 위한 사이버 보안 정책을 수립하고 문서화하도록 규정합니다.

사이버 보안 정책은 최소한 다음을 다루어야 합니다.

• 오픈소스 소프트웨어에 적용된 안전한 개발 관행
• 조정된 공개를 포함한 취약점 처리 프로세스

1. 서면 정책 — 비공식적인 관행이 아닌 문서화 필요
2. 안전한 개발 범위 — 정책이 OSS 구성 요소 개발 중 보안을 고려하는 방법을 다루어야 함
3. 취약점 처리 — 취약점이 접수·분류·해결·공개되는 방법을 정책에서 다루어야 함
4. 조정된 공개 프로세스 — 보안 연구자 및 사용자가 취약점을 신고할 수 있는 명확한 프로세스 (예: SECURITY.md, 취약점 공개 정책)
5. 최신 상태 유지 — 프로젝트와 위협 환경이 변화함에 따라 정책이 발전하여야 함

• 게시된 보안 정책 문서 (예: 소스 저장소의 SECURITY.md)
• 취약점 공개 정책 또는 조정된 공개 프로세스 문서
• 프로젝트에서 참조하거나 적용하는 안전한 개발 지침
• 정책이 적극적으로 따르고 있음을 보여주는 증거 (예: 공개 프로세스를 통해 종료된 CVE)