Ustanowienie i udokumentowanie polityki cyberbezpieczeństwa dla oprogramowania open source

Artykuł 24 ust. 1 rozporządzenia (UE) 2024/2847 stanowi, że opiekunowie oprogramowania open source ustanawiają i dokumentują politykę cyberbezpieczeństwa mającą na celu wspieranie opracowywania bezpiecznego produktu z elementami cyfrowymi, w tym dostarczanych przez nich komponentów oprogramowania open source, oraz skuteczną obsługę podatności zgodnie z Art. 13 ust. 6 w zakresie, w jakim ma on do nich zastosowanie.

Polityka cyberbezpieczeństwa musi dotyczyć co najmniej:

• praktyk bezpiecznego opracowywania stosowanych wobec oprogramowania open source;
• procesu obsługi podatności, w tym skoordynowanego ujawniania.

1. Pisemna polityka — musi być udokumentowana (nie tylko praktyka nieformalna)
2. Zakres bezpiecznego opracowywania — polityka dotyczy sposobu uwzględniania bezpieczeństwa podczas opracowywania komponentu OSS
3. Obsługa podatności — polityka obejmuje sposób przyjmowania, klasyfikacji, eliminowania i ujawniania podatności
4. Proces skoordynowanego ujawniania — jasny proces dla badaczy bezpieczeństwa i użytkowników do zgłaszania podatności (np. SECURITY.md, polityka ujawniania podatności)
5. Aktualizowanie — polityka powinna ewoluować wraz z projektem i zmieniającym się krajobrazem zagrożeń

• Opublikowany dokument polityki bezpieczeństwa (np. SECURITY.md w repozytorium kodu)
• Polityka ujawniania podatności lub dokument procesu skoordynowanego ujawniania
• Wytyczne dotyczące bezpiecznego opracowywania przywołane lub stosowane przez projekt
• Dowód aktywnego przestrzegania polityki (np. zamknięte CVE przez proces ujawniania)