OBL-ART24-04Binding
요청에 따른 기술 문서 작성
- 적용 대상
- Open-source steward
- 출처 인용
- Art. 24(4)
Last reviewed
쉬운 설명
제조업체와 달리, 사전에 부속서 VII의 전체 기술 문서를 준비할 필요는 없습니다. 그러나 시장 감시 기관이 요청하는 경우, OSS 구성 요소에 관한 기술 문서를 제출할 수 있어야 합니다. 여기에는 보안 속성, 알려진 취약점 및 개발 관행이 포함됩니다. OSS 관리자에 대한 경감된 의무는 오픈소스 모델을 반영하지만, 기저 정보는 여전히 이용 가능하여야 합니다.
법률 조문
규정(EU) 2024/2847 제24조 제4항은 시장 감시 기관의 요청에 따라 오픈소스 소프트웨어 관리자가 관리하는 오픈소스 소프트웨어 구성 요소에 대해 부속서 VII에서 언급하는 기술 문서를 작성하고 최신 상태로 유지하도록 규정합니다.
해당 문서는 요청에 따라 시장 감시 기관에 제공되어야 하며, 본 규정의 적용 가능한 요건에 대한 준수 평가를 가능하게 하여야 합니다.
주요 요건
- 요청 기반 의무 — 제조업체와 달리 OSS 관리자는 부속서 VII 문서를 사전에 유지할 필요가 없으나, 요청받는 경우 제출하여야 함
- 부속서 VII 범위 — 문서는 준수 평가를 가능하게 하기에 충분하여야 함; 보안 속성, 개발 프로세스 및 취약점 처리를 포함
- 최신 상태 유지 — 일단 작성된 후에는 정확성을 유지하도록 문서를 유지하여야 함
- 적시 작성 — 요청 후 합리적인 시간 내에 작성되어야 함
필요할 수 있는 증거
- 관리하는 OSS 구성 요소 목록 및 보안 관련 속성
- 보안 아키텍처 노트, 위협 모델 또는 동등한 설계 문서
- 구성 요소의 취약점 데이터베이스 또는 알려진 문제 목록
- 적용된 안전한 개발 관행 기록