超越合规：《网络弹性法案》对软件信任意味着什么？

本文翻译自：Beyond compliance: what the Cyber Resilience Act means for software trust

随着《网络弹性法案》正式施行的日期日益临近，欧洲各地的工程团队均需依规落实安全开发实践、提升软件供应链透明度，并完善漏洞管理体系。对众多机构而言，工作重心已向合规层面倾斜：核心需明确哪些内容需要落地展示、留存记录并完成认证。

但合规本身，并不等同于实现了网络弹性。

在 OCX 26 大会 “重建信任：从开源生态到开放问责” 的主题环节中，Codethink 公司总裁兼产品负责人约翰・埃利斯（John Ellis）将深入剖析一个核心命题——在满足监管要求与判断软件系统在持续演进中是否始终具备可信性之间，二者是存在明确界限的。他在受访时对此作出了阐释：

“《网络弹性法案》要求各类机构落地安全开发实践，同时实现供应链透明化与构建流程规范化管理。”

而当下的挑战，正是如何将这些监管要求转化为实际行动。

“《网络弹性法案》的规范重点，是明确机构在特定合规节点必须展示的内容，例如软件发布前、事件响应过程中，或是审计阶段。”

但现代软件系统的运行并非处于一个个孤立的节点：依赖关系动态调整、供应商持续更新组件、运行环境不断变化，而这些变化往往缺乏管理层的清晰把控，也难以实现系统级的全面可视。在此背景下，即便通过合规评估，也难以充分判断当下系统是否依然安全。

也正因为此，约翰提出了一套全新的软件信任框架。

“Eclipse 可信软件框架将信任视为一个持续的过程，而非阶段性的结果。它不仅能助力机构通过合规评估，更能让团队每日掌握自身软件是否仍具备可信性。”

Eclipse 可信软件框架（TSF）在 Eclipse 基金会生态体系下开源开发，其核心价值在于将监管意图转化为实际运营中的可验证证据。该框架摒弃了依赖周期性合规声明的模式，转而聚焦于持续解答一系列实际问题：软件的溯源信息、构建流程、变更内容，以及当前存在的风险点 —— 而非仅仅反映上一次审计时的状态。

约翰还着重指出，即便履行了合规义务，仍存在关键局限点。

“即便实现《网络弹性法案》的合规要求，部分机构仍可能处于分散式的权属管理模式，即每个供应商仅对自身环节的合规性作出声明。（……）而 Eclipse 可信软件框架则推动模式转型，实现整个供应链范围内、系统级的责任共担。”

对于负责关键系统与互联系统的团队而言，核心认知并非 “合规无关紧要”，而是 “合规并不全面”。《网络弹性法案》明确了行业必须达到的基本监管要求，而要判断一个系统是否仍具备可信性，还需要持续的实证支撑，以及供应链各方的协同问责。

如果你的团队仍仅依靠《网络弹性法案》的合规结果来判断软件风险，本次环节将为你揭示合规体系尚未覆盖的短板。约翰・埃利斯将具体讲解，团队应如何从简单追问 “我们是否合规？”，转向深度思考 “我们当下拥有哪些可验证证据？”，以及如何在安全事件爆发、问题被迫暴露之前，让软件的可信状态实现可视化管理。

诚邀各位于今年四月前往布鲁塞尔，参与 OCX 26 大会的这场深度探讨。

郭奕婷 | 译