另请阅读:网络弹性法案和开源问题
CRA 的主要目标是减少数字产品的漏洞,确保在产品的整个生命周期中维护网络安全,并使用户在选择和使用产品时做出明智的决策。它通过创造适用于欧盟市场上任何在线产品(无论是由欧盟公司还是外部公司提供)的条件来实现这一目标,不符合 CRA 的产品将被禁止进入欧盟市场。
CRA 区分非关键产品和关键产品。后者分为I类和II类。II 类(例如 伊拉克电报数据 路由器、防火墙或加密处理器) 须遵守最严格的网络安全要求。核心开源技术,例如服务器、桌面和移动操作系统、虚拟机管理程序或容器运行时,明确包含在 II 类关键产品中。
然而,CRA 没有提及协作开发此类上游技术与将其推向市场之间的区别。这种差异对于当今 ICT 行业的运作至关重要,该行业的数字产品基于可重复使用的通用开源技术。例如,开源协作流程使世界上的每个人都可以访问经过数十年测试的高度安全的软件组件。世界上没有多少公司可以自行构建安全的 TCP/IP 或 SSL 网络实施,但开源协作为任何人提供了创建新产品和解决方案的构建块。
另一个担忧是,CRA 并未将产品的可预见使用限制在制造商预期的范围内,这使得上游开源社区即使在最意想不到的用例中也要对漏洞负责。开源软件分销商可能会要求上游社区(即创建集成到最终下游产品的开源模块的社区) 修复仅在其特定环境中发生的问题的错误,并且这些问题甚至可能无法在上游重现。事实上,如果不对下游网络安全问题负责,就不可能在欧盟“按原样”并以免费许可证提供软件。这与开源开发模式的本质是不一致的。