Cyber Resilience Act: cos'è e perché preoccupa chi sviluppa software aperto

L’Unione Europea ha avvertito la necessità di dotarsi di un nuovo impianto normativo appositamente studiato per migliorare la sicurezza dei prodotti hardware e software immessi sul mercato e utilizzati da soggetti pubblici e privati. Lo strumento si chiama Cyber Resilience Act (CRA) e il 19 luglio 2023 ha ottenuto il primo “via libera” da parte del Consiglio UE.

L’obiettivo dichiarato è quello di garantire che tutti i dispositivi acquistati da consumatori e imprese offrano un adeguato livello di sicurezza, aumentando le responsabilità di sviluppatori e produttori che, tra le varie cose, sono chiamati ad assicurare un supporto a lungo termine. Basta quindi con i cicli di vita brevi, che mettono gli utenti finali nelle condizioni di dover sostituire un prodotto ancora funzionante, semplicemente perché esso non riceve più alcun aggiornamento di sicurezza.

Cos’è il Cyber Resilience Act

Il provvedimento normativo attualmente al vaglio delle istituzioni europee, Cyber Resilience Act, è noto anche con il nome di Regolamento sulla cyberresilienza.

Del termine resilienza si sta davvero abusando nell’ultimo periodo. Si riferisce alla capacità di un individuo, di una comunità o di un sistema ad affrontare le sfide, le difficoltà e gli stress della vita e di adattarsi, riprendersi e crescere positivamente nonostante le avversità.

Nell’ambito della sicurezza informatica, il termine “resilienza” si riferisce alla capacità di un sistema o di una rete di continuare a funzionare correttamente e di riprendersi rapidamente da attacchi o incidenti, minimizzando i danni e ripristinando le normali operazioni. Una rete o un sistema resiliente è progettato per rilevare e mitigare attacchi o violazioni della sicurezza in modo tempestivo, impedire la propagazione di malware e proteggere i dati sensibili.

Il CRA prevede che i produttori garantiscano la conformità ai requisiti di sicurezza dei prodotti immessi sul mercato dell’Unione Europea effettuando anche una valutazione dei rischi in materia di cybersicurezza. I fabbricanti sono altresì chiamati ad adottare processi di gestione delle vulnerabilità e misure volte a migliorare la trasparenza in materia di sicurezza dei prodotti hardware e software.

L’elenco dei prodotti interessati dagli obblighi contenuti nel CRA è ancora parziale ma contiene, ad esempio, riferimenti a buona parte dei device che tutti noi usiamo quotidianamente.

Perché il Cyber Resilience Act preoccupa gli sviluppatori di software open source

Per protestare contro la decisione europea di adottare un provvedimento come il CRA, FileZilla – uno dei più noti software FTP open source – ha deciso di bloccare temporaneamente il download della sua applicazione da parte degli utenti europei. I motivi della decisione sono riassunti nel breve comunicato dal titolo “Proteggi il software open source oggi stesso“. Su posizioni estremamente critiche convergono anche Eclipse Foundation, Linux Foundation Europe e OSI (Open Source Initiative).

Gli sviluppatori di software open source offrono le loro applicazioni liberamente, senza alcuna responsabilità o garanzia. Il CRA va contro questo principio ponendo responsabilità pesanti in capo ai produttori software. Codice aperto viene oggi largamente utilizzato anche nelle applicazioni commerciali, compatibilmente con le condizioni di licenza.

Se il CRA entrasse effettivamente in vigore, realtà impegnate nello sviluppo di progetti open source e singoli programmatori potrebbero essere chiamati a rispondere della distribuzione di codice rivelatosi non sicuro.

Non si tratta di sottrarsi all’applicazione delle moderne e più corrette procedure di sviluppo software: si pensi ad esempio alla filosofia DevSecOps. Un software è sempre, per sua natura, un elemento imperfetto che contiene bug e che subisce un continuo processo di miglioramento nel corso del tempo. Basti pensare a tutte le patch di sicurezza che i produttori rilasciano a cadenza regolare.

CRA non fa al momento distinzioni, non introduce alcuna esenzione per gli sviluppatori open source e si limita a stabilire che il software deve essere sicuro. Questo concetto è chiarito nel video pubblicato da Elicpse Foundation su YouTube, in cui viene affrontata nel dettaglio l’intera questione.

La comunità open source invita tutti a farsi parte attiva richiamando l’attenzione degli europarlamentari sulle preoccupazioni avanzate da più parti in questi mesi. L’obiettivo è arrivare a una modifica del testo di legge che permetta di salvaguardare il futuro del software open source.