Cybersécurité : la Fondation Eclipse lance un centre d'apprentissage pour aider les développeurs à se préparer au CRALa Fondation Eclipse, organisme centré sur le développent de logiciels en open source, annonce le lancement en collaboration avec le groupe de travail ORC (Open Regulatory Compliance) d’un Centre d'Apprentissage, initiative éducative mondiale gratuite conçue pour aider les responsables de la construction, de la maintenance, de la sécurisation et de la gestion des logiciels open source à se préparer à la loi de l'Union Européenne sur le Cyber-résilience (CRA). Pour rappel, le groupe de travail sur la conformité réglementaire ouverte ORC développe des ressources et des spécifications axées sur la communauté pour soutenir la mise en œuvre du CRA dans les écosystèmes open source. Le programme proposé aujourd'hui par l'ORC fournit une formation pratique et spécifique pour les développeurs open source, les responsables, les contributeurs, les gestionnaires de projet, les équipes produit, les professionnels de la sécurité et de la conformité, les dirigeants OSPO (Open Source Programme Office) et les équipes juridiques. Bien que le CRA soit une réglementation européenne, la fondation Eclipse indique que son impact est mondial, et que toute organisation qui distribue ou commercialise des produits logiciels sur le marché de l’Union Européenne, y compris ceux basés sur l'open source, doit se conformer à ses exigences. « Le CRA - Cyber Résilience Act - modifie les règles sur la façon dont les logiciels sont développés et livrés à l'échelle mondiale, commente Mike Milinkovich, Directeur Exécutif de la Fondation Eclipse. Dans ce cadre, puisque l'open source fait désormais départie de presque toutes les applications et systèmes modernes, la conformité au CRA doit se faire là où le logiciel est réellement construit. A ce niveau, le Centre d'Apprentissage ORC aide les développeurs, les responsables de maintenance, les référents de projet et les équipes logicielles à comprendre les exigences de la CRA et à mettre ces connaissances en pratique. » La formation proposée a pour ambition de comprendre comment le CRA s'applique dans des scénarios réels et les actions à mettre en œuvre, avec une entrée en vigueur des premières obligations du CRA prévue dès septembre 2026. Pour rappel, cette loi sur la cyber-résilience introduit des exigences obligatoires en matière de cybersécurité pour les produits contenant des éléments numériques vendus dans l'Union Européenne, y compris ceux qui sont développés avec des logiciels open source ou qui en dépendent. Ce CRA confère de nouvelles responsabilités aux fabricants et aux distributeurs de ces produits sur le marché européen. Il introduit également un nouvel acteur, les gestionnaires de logiciels open source, qui doivent adopter des pratiques de développement sécurisées, assurer la transparence et gérer les vulnérabilités tout au long de la chaîne d'approvisionnement logicielle. Dans le détail, le programme de formation modulaire proposé par l’ORC est conçu pour guider les organisations dans leur préparation à la CRA, étape par étape. Il comprend un module d’introduction au CRA pour les logiciels open source, un module d’ introduction au CRA pour les fabricants, un module centré sur la gestion des vulnérabilités dans l'open source, un module qui détaille la diligence raisonnable dans le cadre du CRA et enfin un dernier module sur la gestion des vulnérabilités en pratique, de manière générale. Le Centre d'Apprentissage ORC est gratuit et disponible dans le monde entier. Il est disponible gratuitement ici. |