OBL-ART24-01Binding
為開源軟體建立並記錄網路安全政策
- 適用於
- Open-source steward
- 來源引用
- Art. 24(1)
Last reviewed
通俗語言
作為開源軟體管理者,您必須有一份書面的網路安全政策,涵蓋您的專案如何開發安全軟體 以及在發現安全漏洞時如何處理。這不必是企業式的合規文件——可以是SECURITY.md文件、 專案安全政策或類似文件——但它必須存在並有文件記錄。該政策必須涵蓋安全開發實踐和 漏洞處理。
法律條文
《歐盟法規》(EU) 2024/2847 第24條第(1)款規定,開源軟體管理者應制定並記錄網路安全 政策,以促進含數位元素之安全產品的開發,包括其提供的開源軟體元件,並依據第13條第(6)款 對其適用的規定,以有效方式處理漏洞。
網路安全政策應至少涵蓋:
- 適用於開源軟體的安全開發實踐;
- 漏洞處理流程,包括協調揭露。
主要要求
- 書面政策 — 必須有文件記錄(而非僅是非正式做法)
- 安全開發覆蓋 — 政策涵蓋在開發開源軟體元件期間如何考量安全性
- 漏洞處理 — 政策涵蓋漏洞的接收、分類、處理和揭露
- 協調揭露流程 — 安全研究人員和使用者回報漏洞的清晰流程 (例如SECURITY.md、漏洞揭露政策)
- 保持更新 — 政策應隨專案和威脅環境的變化而演進
可能需要的證據
- 已發布的安全政策文件(例如源代碼儲存庫中的SECURITY.md)
- 漏洞揭露政策或協調揭露流程文件
- 專案引用或採用的安全開發指南
- 政策被積極遵循的證據(例如通過揭露流程關閉的CVE)