OBL-ART24-01Binding
为开源软件建立并记录网络安全政策
- 适用于
- Open-source steward
- 来源引用
- Art. 24(1)
Last reviewed
通俗语言
作为开源软件管理者,您必须有一份涵盖您的项目如何开发安全软件以及如何处理发现的安全漏洞的书面网络安全政策。这不需要是企业风格的合规文件——可以是SECURITY.md文件、项目安全政策或类似内容——但它必须存在并有文件记录。该政策必须同时涵盖安全开发实践和漏洞处置。
法律文本
《欧盟法规(EU)2024/2847》第24条第1款规定,开源软件管理者应制定并记录网络安全政策,以促进含数字元素的安全产品的开发(包括其提供的开源软件组件),并按照对其适用的第13条第6款的要求,有效处置漏洞。
网络安全政策至少须涵盖:
- 应用于开源软件的安全开发实践;
- 漏洞处置流程,包括协调漏洞披露。
主要要求
- 书面政策——必须有文件记录(而非仅为非正式实践)
- 安全开发内容——政策涵盖在OSS组件开发过程中如何考虑安全性
- 漏洞处置——政策涵盖如何接收、分类、处理和披露漏洞
- 协调漏洞披露流程——为安全研究人员和用户提供清晰的漏洞报告流程(如SECURITY.md、漏洞披露政策)
- 保持更新——政策应随项目和威胁环境的变化而演进
可能需要的证据
- 已发布的安全政策文件(如源代码仓库中的SECURITY.md)
- 漏洞披露政策或协调漏洞披露流程文件
- 项目引用或应用的安全开发指南
- 证明政策被积极遵守的证据(如通过披露流程关闭的CVE)