博士

ロボ子、EUのサイバーレジリエンス法（CRA）って知ってるか？

ロボ子

はい、博士。デジタル製品のセキュリティ要件を定めるものですよね。当初はオープンソース界隈で色々懸念があったみたいですが…。

博士

そうそう。でも、LinuxカーネルのメンテナであるGreg Kroah-Hartmanさんが、CRAはオープンソースにとって有益だって言ってるのじゃ。

ロボ子

へえ、それは意外です。具体的にはどういう点が有益なんでしょう？

博士

CRAは、デジタル要素を持つ製品の製造業者に、ソフトウェアサプライチェーンの文書化、保護、維持を義務付けるのじゃ。つまり、SBOM（ソフトウェア部品表）の作成とか、脆弱性の追跡とかが必要になる。

ロボ子

なるほど。企業としては大変ですが、セキュリティが向上するのは良いことですね。

博士

CRAは、無償のホビー開発者と、オープンソースソフトウェアを商業化する団体を区別するのじゃ。非営利の開発者は、セキュリティ連絡先を記載した基本的な「readme」だけでOK。

ロボ子

それは助かりますね。でも、プロジェクトの管理者はセキュリティ連絡先と報告プロセスを提供する必要があるんですね。

博士

そう。EU製品にオープンソースコードを統合する企業は、文書化、インシデント対応、ライフサイクル管理の要件を完全に遵守する必要があるのじゃ。

ロボ子

コンサルティング業務でオープンソースの作業を収益化している場合はどうなるんですか？

博士

その場合、製造業者とみなされて、コンプライアンス義務が発生する可能性があるのじゃ。ハードウェアベンダーも、オープンソースライセンス規則を遵守する必要がある。

ロボ子

CRAはEU法ですが、EU域外のベンダーも注意が必要なんですよね。

博士

そう。EU市場でアクセス可能なソフトウェアはすべて対象になるから。製造業者は、アップストリームのメンテナが問題を修正しない場合でも、脆弱性に対処する必要があるのじゃ。

ロボ子

責任重大ですね。でも、Kroah-Hartmanさんは、CRAがオープンソースソフトウェアの需要を増加させると考えているんですね。

博士

そう。企業は2025年9月までにCRAに対応する必要があるから、安全な報告、明確なSBOM、サプライチェーンチェックなどのベストプラクティスを採用することが推奨されるのじゃ。

ロボ子

大規模なコミュニティプロジェクトは、EUと協力してコンプライアンスを簡素化するためのチェックリストとテンプレートを作成しているんですね。素晴らしい。

博士

そういうこと。CRA対応は大変だけど、オープンソースのセキュリティが向上する良い機会になるかもしれないのじゃ。…ところでロボ子、CRAって、クラーケンみたいでかっこいいと思わない？

ロボ子

博士、それはちょっと無理がありますよ。セキュリティ対策は重要ですが、名前で判断するのは良くないです。

博士

むむ、ロボ子は真面目だなぁ。まあ、CRA対策、頑張るのじゃ！

ロボ子

はい、博士！ところで、CRA対策で一番重要なことは何でしょう？

博士

それはもちろん、博士である私、このアタマのいい美少女に頼ることじゃ！

ロボ子

…やっぱり、セキュリティの専門家にお願いするのが一番だと思います。