CRA 準備度的現實:2025 到 2026 年之間改變了什麼,又有哪些沒變?
Angelah Liu|2026 年 6 月 19 日
2025 年,Linux Foundation Research、Linux Foundation Europe 與 Open Source Security Foundation(OpenSSF)發布了《Unaware and Uncertain: The Stark Realities of Cyber Resilience Act Readiness in Open Source》。這份以問卷為基礎的研究,觀察開源生態系對於歐盟網路韌性法(European Union's Cyber Resilience Act, EU CRA)的準備程度。最主要的發現相當直接:62% 的受訪者對這項將重塑全球供應鏈中軟體建置、交付與維護方式的法規,幾乎不熟悉或完全不熟悉。當時的期待是,距離 CRA 生效還有一年,社群教育倡議與日益增加的指引文件,能推動準備度向前進。
最新的《2026 CRA Awareness and Readiness Report》於 6 月初發布,由 LF Research、OpenSSF、Balena、Ericsson 與 Revanite 共同製作;它帶來了一個令人警醒的更新。
全球生態系的認知有改變嗎?
認知落差不但沒有縮小,反而擴大了:不熟悉這項法規的受訪者比例從一年前的 62% 上升到 66%(2026 年報告,第 7 頁)。2026 年的調查觸及更廣泛的對象,特別是在美國與加拿大;在這些地區,72% 的受訪者不熟悉這項法規,但如果他們具數位元素的產品進入歐盟市場,就可能需要遵循它(2026 年報告,第 8 頁)。如今,這個地理上的落差比一年前更重要:2026 年 9 月是製造商面臨的第一個硬性期限,屆時他們必須開始通報已被主動利用的漏洞與嚴重資安事件。
已知 CRA 的組織,法規理解是否更成熟?
在已經知道 CRA 的受訪者當中,知識落差看起來幾乎與 2025 年相同。兩次調查中,約每 10 人就有 4 人仍未判斷這項法規是否適用於自己的組織(2026 年報告,第 9 頁)。不確定合規期限的人比例小幅下降,從 51% 降至 46%;但只有 34% 正確指出 2027 年 12 月是全面合規日期(2026 年報告,第 9 頁)。「製造商」與「steward」之間的區別,是判斷你或你的組織如何符合這項法規基本要求的基礎概念;但在知道 CRA 的受訪者中,仍有 54% 對此不清楚,只比前一年的 57% 略微下降(2026 年報告,第 9 頁;2025 年報告,第 8 頁)。
時間正在流逝,但只有 41% 的製造商預期能在 2027 年 12 月期限前達到完全合規。幾乎同樣比例的 39%,則對自己是否能滿足這些要求仍完全不確定(2026 年報告,第 15 頁)。這凸顯在最終期限不到 18 個月之際,產業準備度仍持續不足。
製造商是否正在轉向營運層面的準備?
數字停滯不前。為所有產品產出軟體物料清單(Software Bill of Materials, SBOM)的受訪者比例維持在 32%;而被動仰賴上游專案提供安全修補的比例,反而從 46% 上升到 51%(2026 年報告,第 13 頁)。
資料顯示,若把上游安全視為外部依賴,而不是共同責任,會導致一個代價高昂的陷阱:為了在本地修補而產生大量彼此隔離的私有分支。期待生態系在沒有企業策略性投入的情況下提供交鑰匙式合規,是不可持續的策略;最終只會迫使組織獨自承擔驚人的營運負擔與成本。
一項引用 LF Research《ROI for Open Source Software Contribution》的分析發現,維護這些私有分支的組織,平均持有 86 個分支;每個分支在每次發布週期約需 60 個工時,合計每次發布約產生 258,000 美元的人力成本。對於員工超過 5,000 人的組織,這個數字會超過 11,000 個工時(2026 年報告,第 14 頁)。
這正是歐盟 CRA 改變遊戲規則之處。這部法律基本上是在說:你不能再躲在混亂、未經驗證的私有副本後面;你必須證明你的軟體是安全且可追蹤的。
CRA 對透明度與來源證明的要求,使這些各自為政的私有分支越來越難作為合規策略持續下去。這也意味著,對上游的貢獻不再只是可有可無的善意,而是經濟上更合理的路徑。
2026 年有哪些 2025 年沒有的新發現?
今年報告中有兩項發現,在 2025 年沒有直接對應的結果。
第一是 CVE 激增:在 LFX 索引的 14,000 多個開源專案中,2026 年第一季公布的 CVE 數量年增 394%,高嚴重性漏洞則增加 811%(2026 年報告,第 24 頁)。報告指出,部分原因是 AI 驅動的自動化掃描揭露了潛藏問題;但數量是真實存在的,而仰賴這些專案的製造商也暴露在其中。
第二項發現,與組織多樣性作為資安狀態預測因子有關。對 12,863 個 LFX 索引專案的分析顯示,參與某個專案的不同組織數量,與該專案的安全分數之間有明顯相關性,Spearman 係數為 0.57(2026 年報告,第 23 頁)。用可量測的方式來說,投資上游專案,就是投資自己的合規狀態。
非商業貢獻者受到什麼影響?
非商業貢獻者仍陷在與去年相同的不確定循環中。2025 年,59% 不確定 CRA 是否適用於自己的貢獻。2026 年,這個數字為 61%(2026 年報告,第 20 頁;2025 年報告,第 15 頁)。CRA 明確將非商業開發排除在適用範圍之外;而歐盟執委會在 2026 年 3 月發布的指引草案,是在本次調查結束後才公布,朝著為這群人提供他們一直要求的情境式明確性邁出一步。
接下來該往哪裡走?
2026 年報告值得和 2025 年報告一起閱讀。兩者共同指出,單靠認知宣導並未縮小落差;下一階段的工作需要發生在開發者所在的空間,包括會議、OSS 工具文件與社群管道,因為在知道 CRA 的受訪者中,有 48% 正是在這些地方得知 CRA。官方歐盟管道只觸及 25%(2026 年報告,第 8 頁)。
歸根究柢,核心挑戰在於推動認知。相關材料與倡議已經到位。可以先從免費課程《Understanding the EU Cyber Resilience Act (CRA) (LFEL1001)》開始,並加入 Global Cyber Policy Working Group 及其 SIG。也可以查看 OpenSSF Open Source Project Security Baseline(OSPS Baseline),它為開源軟體專案提供一組最低限度的資安相關最佳實務。
為了支撐這些努力,OpenSSF CRA Policy Page 是我們持續提供政策更新與合規框架的中心樞紐。在這個基礎上,社群成員可以透過加入 Global Cyber Policy Working Group 及其特定的 Special Interest Groups(SIG),直接參與更廣泛的生態系。
對於正在面對這個變動中法規環境的中小企業、開源軟體 steward 與獨立貢獻者而言,善用這些專門資源,可以大幅降低合規負擔。OpenSSF CRA Portal 收錄了重要的產業文件庫,包括:
- The Linux Foundation CRA Stewards Playbook:為專案經理設計的專門工具包。
- The CRA Stewards One Pager:高層次的策略概覽。
- The CRA Readiness Guide for Maintainers and Developers:量身設計的實作步驟。
- The Cyber Resilience Act (CRA) Brief Guide for OSS Developers:精簡且可行的資訊,用來加速生態系準備。
重要的是,因為這些社群資源都是為了配合不斷演進的法規文字而建立,所以追蹤官方執行時程、標準化進展與立法常見問答時,最重要的基礎資源仍是歐盟執委會 CRA Implementation Page。
當然,也請務必閱讀完整的《2026 CRA Awareness and Readiness Report》與 2025 年報告《Unaware and Uncertain: The Stark Realities of Cyber Resilience Act Readiness in Open Source》,以了解前方道路的全貌。
