OBL-ART24-04Binding
应要求编制技术文档
- 适用于
- Open-source steward
- 来源引用
- Art. 24(4)
Last reviewed
通俗语言
与制造商不同,您不需要主动准备完整的附件VII技术文档。但是,如果市场监督机构提出要求,您必须能够提供关于您OSS组件的技术文档——涵盖其安全属性、已知漏洞和开发实践。对开源软件管理者义务的适度要求体现了开源模式的特点,但您仍需确保相关基础信息可以获取。
法律文本
《欧盟法规(EU)2024/2847》第24条第4款规定,应市场监督机构的请求,开源软件管理者应为其管理的开源软件组件编制并持续更新附件VII所述的技术文档。
该文档应应市场监督机构的要求向其提供,并应能够对产品符合本法规适用要求的情况进行评估。
主要要求
- 应要求履行的义务——与制造商不同,开源软件管理者无需主动维护附件VII文档,但必须在被要求时提供
- 附件VII范围——文档必须足以评估合规性;涵盖安全属性、开发流程和漏洞处置
- 保持更新——一旦生成,文档必须持续维护以保持准确性
- 及时提供——必须在收到请求后合理时间内提供
可能需要的证据
- 您管理的OSS组件及其安全相关属性清单
- 安全架构说明、威胁模型或等效设计文档
- 组件漏洞数据库或已知问题列表
- 已应用的安全开发实践记录