七大开源基金会联合制定《网络弹性法案》通用标准

欧洲议会

本次联合的牵头者Eclipse基金会发布称，七大基金会将会整合它们的集体资源，结合自身在开源软件中的有效经验，制定出一套符合欧盟CRA的共同标准框架。

据悉，本次合作是为了解决开源生态系统中网络安全层次面临的多方面挑战，并向欧盟表明七大基金会对CRA合作的态度与承诺，以确保2027年CRA正式实行后七大基金会可以适应这项法律。

此次联合的参与方有Apache软件基金会、Blender 基金会、Eclipse基金会、OpenSSL软件基金会、PHP基金会、Python软件基金会和Rust基金会。

2022年9月15日，欧盟委员会发布了CRA草案。CRA草案引起了包括十多个开源行业机构在内的众多第三方机构的猛烈抨击，这些机构于2023年公开了一封公开信，称该法案可能会对软件开发产生“寒蝉效应”。他们的焦点集中于上游开源开发者可能要为下游产品的安全缺陷承担责任，这项条款使志愿的开源项目维护者因担心法律责任而不敢开发关键组件。

2024年3月12日，欧洲议会批准的CRA最终对案文进行了一些修改，修订后的立法通过澄清开放源代码项目的不适用情况，并为所谓的“开源管理者”划分了特定角色，这实质性地解决了人们关注的问题。

CRA需要到2027年才会生效，这就给了各方时间来满足法律要求并梳理实行过程中的各种细节，而这正是七家开源基金会携手合作的目的所在。