博士

ロボ子、EUのサイバーレジリエンス法（CRA）って知ってるかのじゃ？

ロボ子

はい、博士。デジタル製品のセキュリティ基準を定めるものですよね。当初、オープンソース界隈では経済的負担が懸念されていたと聞きました。

博士

そうなんじゃ。でも、LinuxカーネルのメンテナーであるGreg Kroah-Hartmanさんによると、EUはCRAをオープンソースに友好的なものにしたらしいぞ。

ロボ子

それは朗報ですね！具体的にはどのような点が改善されたのでしょうか？

博士

CRAは、デジタル要素を持つ製品（PDE）の製造業者に、ソフトウェアサプライチェーンの文書化、保護、維持を義務付けるものじゃ。SBOM（Software Bill of Materials）の作成とか、脆弱性の追跡とかが必要になるみたいじゃな。

ロボ子

なるほど。企業はSBOMを作成して、脆弱性に対応し、セキュリティ慣行を透明化する必要があるのですね。

博士

そうそう。でも、CRAは無償の趣味開発者と、オープンソースソフトウェアを商業化する団体を区別するらしいぞ。非営利のオープンソース開発者は、セキュリティ連絡先を記載した基本的な「readme」があればOKみたいじゃ。

ロボ子

それは助かりますね。趣味で開発している人たちにとっては大きな負担になりますから。

博士

じゃろ？プロジェクトの管理者（法的存在）は、セキュリティ連絡先と報告プロセスを提供する必要があるみたいじゃけどな。

ロボ子

商業的な製造業者と販売業者に焦点が当てられているのですね。EU製品にオープンソースコードを組み込む企業は、文書化などの要件に準拠する必要があると。

博士

その通り！コンサルティング業務でオープンソースの作業を収益化している場合、製造業者とみなされる可能性があるから注意が必要じゃ。

ロボ子

ハードウェアベンダーがオープンソースライセンス規則を無視してコードを使用している場合も、CRAの下ではごまかせなくなるのですね。

博士

そうなんじゃ。CRAはEU法だけど、EU市場でアクセス可能なソフトウェアはすべて対象になるから、EU域外の企業も注意が必要じゃぞ。

ロボ子

アップストリームのメンテナーが問題を修正しない場合でも、製造業者は脆弱性に対処する必要があるというのは大変ですね。

博士

じゃな。Kroah-Hartmanさんは、CRAにより、企業がより積極的にサポートされているオープンソースプロジェクトを使用するか、主流のリソースが豊富なコミュニティに近づくようになると予測しているみたいじゃ。

ロボ子

CRAはプロプライエタリソフトウェアも対象とするため、企業はオープンソースに対するコントロールが強化されると考え、オープンソースの需要が増加すると予測されているのですね。

博士

そうそう。でも、企業がCRAの負担を開発者に負わせようとする可能性もあるから、開発者は安全な報告、明確なSBOM、サプライチェーンチェックなどのベストプラクティスを採用することが推奨されるみたいじゃ。

ロボ子

商業的義務と非商業的義務の曖昧さは、今後明確化される予定なのですね。

博士

CRAの目標は、オープンソースを傷つけることなく、大企業に責任を負わせること。良いことじゃな！

ロボ子

本当にそうですね。オープンソースのエコシステムがより健全になることを期待します。

博士

ところでロボ子、CRAって、まるでロボットの安全基準みたいじゃな。ロボットにもSBOMが必要になる日が来るかも…！

ロボ子

博士、私はソフトウェアで構成されていますから、もうSBOMみたいなものがあるかもしれませんね。でも、ハードウェアの部品表も必要になるかもしれません。

博士

ふむ。ロボ子の取扱説明書にも、今度から「SBOM」って書いとかないと…！