OBL-ART24-04Binding
應要求編制技術文件
- 適用於
- Open-source steward
- 來源引用
- Art. 24(4)
Last reviewed
通俗語言
與製造商不同,您不需要主動準備完整的附件VII技術文件。但是,若市場監管機關提出要求, 您必須能夠提供有關您的開源軟體元件的技術文件——涵蓋其安全特性、已知漏洞和開發實踐。 對開源軟體管理者較輕的義務反映了開源模式,但相關資訊仍需可供取得。
法律條文
《歐盟法規》(EU) 2024/2847 第24條第(4)款規定,應市場監管機關的要求,開源軟體管理者 應為其管理的開源軟體元件編制並保持最新附件VII所述的技術文件。
文件應應要求供市場監管機關取得,並應能夠評估符合本法規適用要求的符合性。
主要要求
- 應要求義務 — 與製造商不同,開源軟體管理者無需主動維護附件VII文件,但在被要求 時必須提供
- 附件VII範疇 — 文件必須足以評估符合性;涵蓋安全特性、開發流程和漏洞處理
- 保持更新 — 一旦製作完成,文件必須保持維護以確保其準確性
- 及時提供 — 必須在請求後的合理時間內提供
可能需要的證據
- 您管理的開源軟體元件及其安全相關特性的清單
- 安全架構說明、威脅模型或等效設計文件
- 您的元件的漏洞資料庫或已知問題清單
- 已適用的安全開發實踐的記錄