MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Le groupe de travail Open Regulatory Compliance (ORC), une initiative de la Fondation Eclipse visant à aider les développeurs, les entreprises, les industries et les fondations open source à naviguer des cadres réglementaires en évolution constante, a annoncé aujourd’hui que son premier livrable majeur visant à aider les organisations dotées de logiciels open source à se conformer au règlement sur la cyber-résilience (CRA) promulgué récemment, est prêt pour examen par la communauté. Parallèlement, le groupe continue sa croissance rapide, notamment avec l’ajout de Microsoft et Red Hat en tant que membres stratégiques, aux côtés d’ekxide, GitHub, Google et Open Source Matters.
Pour aider les parties prenantes de l’open source à naviguer dans l’évolution de la conformité réglementaire, le groupe de travail ORC a préparé un inventaire des ressources pertinentes pour la conformité CRA. Cela comprend un ensemble de spécifications, de meilleures pratiques et de documents de référence destinés aux développeurs, aux mainteneurs, aux fabricants et aux fondations qui s’appuient sur des logiciels open source. De plus, l’ORC a publié une feuille de route représentant un plan d’action axé sur la communauté pour développer du contenu et du matériel supplémentaires de manière à soutenir l’écosystème open source dans ses efforts pour respecter les obligations de conformité CRA.
« La communauté ORC fournit exactement ce dont l’industrie a besoin en ce moment : des ressources pratiques pour aider les organisations qui comptent sur l’open source pour mieux comprendre et se préparer au règlement sur la cyber-résilience », a déclaré Mike Milinkovich, directeur exécutif de la Fondation Eclipse. « Cet inventaire initial reflète l’engagement de la communauté à fournir des ressources concrètes qui aident les entreprises à naviguer dans les prescriptions du CRA. Il aide à clarifier la conformité et montre comment les parties prenantes de l’open source abordent la réglementation de la cybersécurité de manière significative. Nous sommes fiers de soutenir cette initiative en pleine croissance et sa mission qui est de maintenir l’open source fort dans un monde plus réglementé. »
Le CRA introduit des exigences obligatoires en matière de cybersécurité et de gestion des vulnérabilités pour les produits numériques commercialisés dans l’Union européenne – y compris les logiciels. Il s’applique aux fabricants, aux fournisseurs de logiciels et aux gestionnaires de logiciels open source, qui sont désormais tenus de garantir des pratiques de développement sécurisées et une gestion transparente des vulnérabilités dans des chaînes d’approvisionnement de logiciels de plus en plus complexes.
Puisque l’on estime que les logiciels open source composent 96 % de tous les logiciels commerciaux (Harvard Business School, mars 2024), la conformité CRA représente un défi unique pour les organisations qui intègrent des composants open source développés et maintenus par des communautés décentralisées. La mission de la CRA est de relever ces défis avec des solutions pratiques et partagées qui soutiennent l’innovation open source dans un monde réglementé.
Depuis son lancement, l’ORC compte désormais plus de 50 membres, y compris des fondations open source de premier plan et des sociétés technologiques mondiales telles que Nokia, Mercedes-Benz et maintenant Microsoft, Red Hat, GitHub et Google. Le groupe de travail fonctionne sous la gouvernance neutre vis-à-vis des fournisseurs de la Fondation Eclipse. Il bénéficie en outre du statut de liaison officiel de la Fondation avec le Comité Européen de Normalisation (CEN), le Comité Européen de Normalisation électrotechnique (CENELEC) et de sa participation active à l’Institut Européen des Normes de Télécommunication (ETSI), et au groupe d’experts CRA de la Commission Européenne. Cela permet à l’ORC de représenter les perspectives open source dans les discussions sur la réglementation et l’élaboration de normes à travers l’Europe.
Le groupe de travail ORC invite les contributeurs, les organisations et toutes les parties prenantes à s’impliquer dans la définition de l’avenir de la conformité open source. Apprenez-en plus et accédez aux ressources sur orcwg.org ou visitez la plateforme dédiée à la CRA.
Microsoft « La Fondation Eclipse est une organisation clé dans l’UE qui travaille avec les régulateurs sur les ressources pratiques, les meilleures pratiques et les spécifications ouvertes qui permettent la conformité réglementaire, tout en préservant la vitalité de l’innovation open source », a déclaré Mark Russinovich, CTO, RSSI adjoint et Technical Fellow, Microsoft Azure. « Microsoft rejoint le groupe de travail sur la conformité réglementaire ouverte pour partager notre expérience et travailler avec nos partenaires et nos pairs, dans l’intérêt de toutes les parties prenantes. »
Nokia « Nokia est un membre stratégique fondateur du groupe de travail ORC et s’engage pleinement à soutenir ces initiatives. Nous sommes très heureux de constater les progrès réalisés pour rassembler une masse critique de la communauté open source afin d’aider à naviguer dans les différentes implications de la loi sur la cyber-résilience pour l’open source et pour les personnes impliquées », a déclaré Timo Perala, responsable des services open source et de l’automatisation des réseaux chez Nokia et coprésident de l’ORC. « C’est avec plaisir et enthousiasme que nous accueillons l’inventaire des ressources, le premier résultat ORC, et nous attendons avec impatience les nombreux résultats prévus à venir. »
Red Hat « La publication de ces ressources initiales par le groupe de travail de l’ORC est une étape cruciale pour la communauté open source dans la résolution des complexités du règlement sur la cyber-résilience », a déclaré Roman Zhukov, responsable des communautés de sécurité au bureau du programme open source de Red Hat. « Chez Red Hat, nous nous engageons à favoriser un environnement où l’innovation open source peut prospérer, et ces outils pratiques seront inestimables pour les organisations qui naviguent dans leurs parcours de conformité. Nous pensons que cet effort de collaboration contribuera à une chaîne d’approvisionnement en logiciels solide et résiliente pour tous. »
ekxide « En tant que jeune entreprise ancrée dans l’open source, faire partie du groupe de travail ORC nous donne l’occasion de collaborer avec des leaders mondiaux de l’industrie et de participer à façonner l’avenir de l’open source. Nous sommes particulièrement fiers de représenter les jeunes et les petites entreprises et les défis auxquels elles sont confrontées avec le CRA », a déclaré Mathias Kraus, co-PDG d’ekxide. « Nous croyons que la collaboration ouverte est le moteur d’une véritable innovation et nous sommes impatients de grandir, de partager et de construire aux côtés d’un réseau aussi engagé. »
Github « Avec le groupe de travail ORC, la Fondation Eclipse a réussi dans la tâche difficile d’amener la communauté open source incroyablement diversifiée à parler d’une seule voix à Bruxelles – et dans un langage que les régulateurs peuvent comprendre », a déclaré Mike Linksvayer, vice-président de la politique des développeurs chez GitHub. « GitHub rejoint le groupe de travail ORC pour soutenir sa mission de faire en sorte que le règlement européen sur la cyber-résilience fonctionne pour les développeurs open source et d’informer la communauté sur les changements réglementaires. »
