三分之二的開源社群對《CRA 網路韌性法》毫無概念

一家開源安全領域的主要機構警告,在《網路韌性法》(Cyber Resilience Act,CRA)2027 年 12 月關鍵合規期限到來之前,社群中出現「認知停滯與結構性整備不足」的問題。CRA 是歐盟推動的法規,旨在為在歐盟境內銷售的硬體與軟體產品建立最低安全標準。

製造商須將資安納入產品全生命週期的規劃,從設計到停止支援,涵蓋漏洞管理與軟體供應鏈風險的處理。
然而,OpenSSF 調查的全球製造商、開發者及其他受訪者中,有 66% 表示對 CRA「完全不熟悉」或「略知皮毛」——在美國與加拿大,這一比例更高達 72%。

OpenSSF 在一份最新報告中警告:「凡是將商業產品投入歐盟市場的組織都必須遵守這項法規,而如此懸殊的地區差異,顯示全球供應鏈中有一大部分仍嚴重缺乏準備。」
延伸閱讀:歐盟通過連網裝置《網路韌性法》

OpenSSF 報告還揭露了其他值得關注的發現:

  • 41% 的組織尚未確認該法規是否適用於自身
  • 45% 不清楚合規期限
  • 56% 不知道不合規的罰則
  • 54% 仍搞不清楚「製造商」與「管理人」(steward)的角色區別——兩者承擔不同的法規義務
  • 僅 32% 的製造商為所有產品產出軟體物料清單(Software Bill of Materials,SBOM)

私有分支埋下 CRA 合規風險

依據 CRA,製造商須對其整合的元件安全負起法律責任。然而,超過半數(51%)的受訪者告訴 OpenSSF,他們仍被動依賴上游專案提供安全修補,這是 CRA 合規上的重大警訊。

更棘手的是,許多組織試圖透過維護私有分支(private fork)來因應上游的安全問題——例如某個開源專案拒絕修補漏洞,或已宣告終止維護。
理論上,這樣做能讓組織掌控修補時程、提升 SBOM 的透明度。報告指出,各組織平均維護了 86 個私有分支。
不過,OpenSSF 警告,這種做法會累積龐大的技術債,平均每個版本發布週期的人力成本高達 25 萬 8 千美元。

「對大型組織(5,000 名員工以上)而言,每個合規週期的負擔超過 11,000 個工時,顯示 CRA 最終可能迫使這些組織轉向上游貢獻,因為這是唯一在財務上合理的出路,」報告補充道。

中小企業受到的衝擊最為嚴峻:62% 的中小企業有超過四分之三的產品仰賴開源軟體,相較之下,大型組織的比例僅為 35%,報告如此指出。

「為了縮小整備落差,整個生態系必須從政策分析轉向實際操作工具包,例如自動化合規工具,以及針對 61% 目前不確定自身在 CRA 下定位的非商業開發者提供更清晰的指引,」OpenSSF 表示。
「對於維護者(stewards)在漏洞快速應變上的財務與法律支援,同樣不可或缺。歸根究柢,要達成目標,需要超越官方監管渠道,深入以社群為核心的空間——例如開源基金會、線上討論區與社群媒體——因為大多數從業者正是在這些地方學習與協作。」

AI 工具在漏洞研究與漏洞利用開發上的日益普及,更使 CRA 合規任務愈發迫切。

OpenSSF 指出,來自 Linux Foundation Exchange(LFX)平台超過 12,000 個開源專案的數據顯示,2026 年第一季已公開的 CVE 數量較去年同期暴增 394%,其中高危險性漏洞的數量更激增 811%。