Een cyberbeveiligingsbeleid voor open-sourcesoftware opstellen en documenteren

Artikel 24(1) van Verordening (EU) 2024/2847 bepaalt dat beheerders van open-sourcesoftware een cyberbeveiligingsbeleid opstellen en documenteren om de ontwikkeling van een veilig product met digitale elementen te bevorderen, met inbegrip van de open-sourcesoftware-componenten die zij leveren, en om kwetsbaarheden op een effectieve manier af te handelen in overeenstemming met Artikel 13(6) zoals dat op hen van toepassing is.

Het cyberbeveiligingsbeleid moet minimaal betrekking hebben op:

• de veilige ontwikkelingspraktijken die worden toegepast op de open-sourcesoftware;
• het kwetsbaarheidsafhandelingsproces, inclusief gecoördineerde openbaarmaking.

1. Schriftelijk beleid — moet gedocumenteerd zijn (niet alleen een informele praktijk)
2. Veilige ontwikkelingsdekking — het beleid behandelt hoe beveiliging wordt overwogen tijdens de ontwikkeling van de OSS-component
3. Kwetsbaarheidsafhandeling — het beleid omvat hoe kwetsbaarheden worden ontvangen, getriageerd, aangepakt en bekendgemaakt
4. Gecoördineerd openbaarmakingsproces — duidelijk proces voor beveiligings- onderzoekers en gebruikers om kwetsbaarheden te melden (bijv. SECURITY.md, beleid voor kwetsbaarheidsopenbaarmaking)
5. Actueel gehouden — het beleid moet evolueren naarmate het project en het dreigingslandschap veranderen

• Gepubliceerd beveiligingsbeleiddocument (bijv. SECURITY.md in de bronrepository)
• Beleid voor kwetsbaarheidsopenbaarmaking of gecoördineerd openbaarmakingsprocesdocument
• Richtlijnen voor veilige ontwikkeling waarnaar door het project wordt verwezen of die worden toegepast
• Bewijs dat het beleid actief wordt gevolgd (bijv. gesloten CVE's via openbaarmakingsproces)