Sporządzanie dokumentacji technicznej na żądanie
- Dotyczy
- Open-source steward
- Cytowania źródeł
- Art. 24(4)
- Klasy produktów
- DefaultImportant — Class IImportant — Class IICritical
Prosty język
W przeciwieństwie do producentów opiekunowie nie muszą proaktywnie przygotowywać pełnej dokumentacji technicznej z Załącznika VII. Jednak jeżeli organ nadzoru rynku tego zażąda, muszą być w stanie przedstawić dokumentację techniczną dotyczącą zarządzanego komponentu OSS — obejmującą jego właściwości bezpieczeństwa, znane podatności i praktyki opracowywania. Łagodniejszy obowiązek dla opiekunów OSS odzwierciedla model open source, ale informacje bazowe nadal muszą być dostępne.
Tekst prawny
Artykuł 24 ust. 4 rozporządzenia (UE) 2024/2847 stanowi, że na żądanie organu nadzoru rynku opiekunowie oprogramowania open source sporządzają i aktualizują dokumentację techniczną, o której mowa w Załączniku VII, dla zarządzanych przez siebie komponentów oprogramowania open source.
Dokumentacja jest udostępniana organowi nadzoru rynku na żądanie i umożliwia ocenę zgodności z mającymi zastosowanie wymogami niniejszego rozporządzenia.
Kluczowe wymagania
- Obowiązek na żądanie — w przeciwieństwie do producentów, opiekunowie OSS nie muszą proaktywnie prowadzić dokumentacji z Załącznika VII, ale muszą ją przedstawić na żądanie
- Zakres Załącznika VII — dokumentacja musi być wystarczająca do oceny zgodności; obejmuje właściwości bezpieczeństwa, proces opracowywania i obsługę podatności
- Aktualizowanie — po sporządzeniu dokumentacja musi być prowadzona w aktualnym stanie
- Terminowe sporządzenie — musi być przygotowana w rozsądnym czasie po złożeniu żądania
Dokumenty, które mogą być wymagane
- Wykaz zarządzanych komponentów OSS i ich właściwości istotnych dla bezpieczeństwa
- Notatki dotyczące architektury bezpieczeństwa, modele zagrożeń lub równoważna dokumentacja projektowa
- Baza danych podatności lub lista znanych problemów dla zarządzanych komponentów
- Zapisy stosowanych praktyk bezpiecznego opracowywania