Dans le but de relever les défis réels de la cybersécurité dans l'écosystème open source, de démontrer une pleine coopération et de soutenir la mise en œuvre de la Cyber ​​Resilience Act (CRA) de l'Union européenne, Apache Software Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation, Rust Foundation et Eclipse Foundation annoncent une initiative visant à établir des spécifications communes pour le développement de logiciels sécurisés basées sur les meilleures pratiques open source. Cet effort de collaboration sera hébergé à la Fondation Eclipse AISBL, basée à Bruxelles

Le point de départ de cet effort de normalisation hautement technique sera les politiques et procédures de sécurité existantes des fondations open source respectives, ainsi que des documents similaires décrivant les meilleures pratiques. La gouvernance du groupe de travail suivra le modèle habituel dirigé par les membres de la Fondation Eclipse, mais sera renforcée par une représentation explicite de la communauté open source pour garantir la diversité et l'équilibre dans la prise de décision. Les livrables consisteront en une ou plusieurs spécifications de processus mises à disposition sous une licence de droit d'auteur de spécification libérale et une licence de brevet libre de redevances. 

Les paetenaires soulignent que les raisons de cette collaboration vont au-delà de la simple conformité. À une époque où les logiciels, en particulier les logiciels open source, jouent un rôle de plus en plus vital dans la société moderne, le besoin de fiabilité, de sûreté et de sécurité n'a cessé d'augmenter. Les nouvelles réglementations, illustrées par l’imminence de l’ARC, soulignent l’urgence de normes de sécurité dès la conception et de normes de sécurité robustes pour la chaîne d’approvisionnement bien avant l’entrée en vigueur de la nouvelle réglementation en 2027.

Ils soulignent encore que même si les communautés et fondations open source adhèrent généralement aux meilleures pratiques du secteur en matière de sécurité et les ont historiquement établies, leurs approches manquent souvent d'alignement et de documentation complète. La communauté open source et l’industrie du logiciel au sens large partagent désormais un défi commun : la législation a introduit un besoin urgent de normes de processus de cybersécurité.

Les partenaires invitent chacun à rejoindre leur effort collaboratif pour créer des spécifications pour un développement open source sécurisé : apportez vos idées et participez à la magie qui se produit lorsque des fondations open source, des PME, des leaders de l'industrie et des chercheurs unissent leurs forces pour relever de grands défis.

Pour rester informé de cette initiative, vous pouvez vous inscrire à sa liste de diffusion depuis son site officiel.