Open Regulatory Compliance (ORC) Working Group, un’iniziativa pionieristica che supporta sviluppatori, imprese, industrie e fondazioni open-source che si devono orientare in contesti normativi in continua evoluzione, ha annunciato oggi che la sua prima risorsa sviluppata per aiutare le organizzazioni che fanno affidamento su software open-source a ottenere la conformità con il Cyber Resilience Act (CRA), da poco entrato in vigore, è pronta per la revisione da parte della community. Contemporaneamente, il gruppo continua a crescere rapidamente, con l’ingresso di Microsoft e Red Hat come Strategic Member, accanto a ekxide, GitHub, Google e Open Source Matters.
Per assistere tutte le realtà del mondo open-source nell’ottenere la conformità a regolamenti in continua evoluzione, il gruppo di lavoro Open Regulatory Compliance ha preparato un inventario di risorse relative alla conformità con il CRA. L’offerta comprende una raccolta di specifiche, best practice e materiali di riferimento rivolti a sviluppatori, manutentori, produttori e fondazioni che fanno affidamento sul software open-source. Inoltre, ORC ha pubblicato il suo Deliverables Plan, una roadmap guidata dalla community per il lancio di contenuti e materiali aggiuntivi a supporto dell’ecosistema open-source impegnato a rispettare gli obblighi imposti dalla conformità al CRA.
“La community ORC sta realizzando esattamente ciò di cui il settore ha bisogno in questo momento: risorse pratiche per aiutare le organizzazioni che puntano sull’open-source a meglio comprendere e a prepararsi per il Cyber Resilience Act,” ha dichiarato Mike Milinkovich, Executive Director di Eclipse Foundation. “Questo primo inventario rispecchia l’impegno della community a fornire risorse concrete che aiutino le aziende a orientarsi fra i requisiti del CRA. Aiuta a sfatare i miti della conformità e mostra come le realtà del mondo open-source stanno affrontando i regolamenti sulla cyber-sicurezza con modalità sensate. Siamo orgogliosi di supportare questa iniziativa in grande crescita e la sua missione di salvaguardare la forza dell’open-source in un mondo più regolamentato.”
Il CRA introduce requisiti obbligatori per la gestione della sicurezza informatica e delle vulnerabilità per i prodotti digitali commercializzati nell’Unione Europea, incluso il software. La norma si applica a produttori, fornitori di software e promotori del software open-source, ai quali viene ora richiesto di garantire pratiche di sviluppo sicure e gestione trasparente delle vulnerabilità lungo supply chain del software sempre più complesse.
A fronte di stime secondo cui il software open-source raggiungerà una quota del 96% di tutto il software commerciale (Harvard Business School, marzo 2024), la conformità CRA rappresenta una grande sfida per le organizzazioni che utilizzano componenti open-source sviluppati e mantenuti da comunità distribuite. La missione dell’Open Regulatory Compliance è affrontare queste problematiche con soluzioni pratiche condivise che sostengano l’innovazione open-source in un contesto regolamentato.
Dalla sua nascita, il gruppo di lavoro ORC è cresciuto a oltre 50 membri, fra cui le principali fondazioni open-source e aziende tecnologiche internazionali come Nokia, Mercedes-Benz e, ora, Microsoft, Red Hat, GitHub e Google. Il gruppo di lavoro opera sotto la governance della Eclipse Foundation, indipendente da qualsiasi fornitore, e beneficia della collaborazione ufficiale fra la Fondazione e il Comitato Europeo di Normazione (CEN) e il Comitato Europeo di Normazione Elettrotecnica (CENELEC), oltre alla partecipazione attiva nell’Istituto Europeo per le Norme di Telecomunicazioni (ETSI) e nel CRA Expert Group della Commissione Europea. Questo consente all’ORC di rappresentare le prospettive dell’open-source ai tavoli in cui si discute dello sviluppo di regolamenti e normative in ambito europeo.
Open Regulatory Compliance Working Group invita contributori, organizzazioni e tutti i soggetti interessati a contribuire attivamente a definire il futuro della conformità open-source. Per maggiori informazioni e per accedere alle risorse disponibili, è possibile visitare il sito dell’ORC Working Group oppure il CRA Hub.
Dichiarazioni degli associati all’Open Regulatory Compliance Working Group
Microsoft
“The Eclipse Foundation è un’organizzazione fondamentale in ambito UE che collabora con i regolatori su risorse pratiche, best practice e specifiche aperte che garantiscono la conformità normativa e, al tempo stesso, salvaguardano la vitalità dell’innovazione open-source,” ha dichiarato Mark Russinovich, CTO, Deputy CISO, and Technical Fellow, Microsoft Azure. “Microsoft si è unita all’Open Regulatory Compliance Working Group per condividere la propria esperienza e il proprio lavoro con partner e colleghi, a beneficio di tutti i soggetti interessati.”
Nokia
“Nokia è membro fondatore strategico dell’ORC Working Group ed è fortemente impegnata a sostegno di queste iniziative. Siamo felicissimi di come sta avanzando il processo di creare una massa critica nella community open-source per aiutare a gestire tutte le implicazioni che il Cyber Resilience Act avrà sull’open-source e su tutte le realtà coinvolte,” ha dichiarato Timo Perala, Head of Open Source Service and Network Automation di Nokia e co-presidente di ORC. “È con grande piacere ed entusiasmo che accogliamo l’Inventory of Resources, il primo pacchetto di risorse dell’ORC, e guardiamo con grande interesse ai numerosi materiali che verranno realizzati in futuro.”
Red Hat
“Il rilascio di queste prime risorse da parte di ORC Working Group è un passo fondamentale per la community open-source verso la gestione delle complessità del Cyber Resilience Act,” ha dichiarato Roman Zhukov, Security Communities Lead di Red Hat Open Source Program Office. “In Red Hat siamo impegnati a promuovere un ambiente nel quale l’innovazione open-source possa prosperare, e questi strumenti pratici saranno preziosissimi per le organizzazioni che devono affrontare il viaggio verso la conformità. Siamo convinti che questo sforzo collaborativo contribuirà a creare una supply chain del software forte e resiliente per tutti.”
ekxide
“Come giovane azienda radicata nell’open source, la partecipazione all’ORC Working Group ci dà l’opportunità di collaborare con i leader di settore di tutto il mondo e partecipare alla definizione del futuro dell’open-source. Siamo particolarmente fieri di rappresentare le imprese giovani più piccole evidenziando le problematiche che devono affrontare con il CRA,” ha dichiarato Mathias Kraus, Co-CEO di ekxide. “Crediamo che una collaborazione aperta favorisca la vera innovazione e siamo pronti a crescere, condividere e costruire a fianco di una rete impegnata in tal senso.”
GitHub
“Con l’ORC Working Group, Eclipse Foundation è riuscita nell’impresa di far parlare la variegata community open-source con una sola voce a Bruxelles, utilizzando un linguaggio comprensibile ai regolatori,” ha dichiarato Mike Linksvayer, VP Developer Policy di GitHub. “GitHub si è unita all’ORC Working Group per sostenere la sua missione di far comprendere il Cyber Resilience Act dell’UE agli sviluppatori open-source e di educare la community sulle modifiche normative.”
