在数字安全至关重要的时代,欧盟正通过出台《欧盟网络弹性法案》(Cyber Resilience Act,简称CRA)来改进网络安全立法。随着欧盟通过 CRA,Qt Group将继续努力使我们的产品符合CRA要求,并支持我们的客户实现产品合规。
对长周期支持 (LTS) 版本的更改
CRA中的一个关键点是要求供应商在产品的整个生命周期内为客户提供安全更新。为了更好地满足客户的需求,Qt Group最近宣布将从Qt 6.8开始将其长期支持版本从三年改为五年。
Qt框架区分标准版和长周期支持(LTS)版本,每个版本都有其特定的支持周期,以满足不同项目的需求。标准版本提供为期一年的支持周期,包括错误修复和安全维护更新版本。相比之下,长周期支持 (LTS) 版本(通常是从 Qt 6.8 开始的每四个小版本)会获得延长支持,并且从 Qt 6.8 开始会获得为期五年的维护版本。LTS版本特别适用于需要在较长时间内建立稳定和安全基础的项目。此外,我们现在还提供扩展安全维护服务,适用于那些停留在不再受标准支持的旧版本Qt上的客户项目。
安全与漏洞处理
CRA的另一个关键要素是其聚焦于对漏洞处理的要求。该法律特别提到了 "主动利用的漏洞",其定义为“有可靠证据表明恶意行为者在未经系统所有者许可的情况下在系统中利用了该漏洞。”
为了更好地提高安全性并遵守法律要求,Qt Group进一步加强了Qt 框架协议和实践的稳健性,如支持条款第7 节中所述 。一经发现,我们将评估报告问题,以确定其是否构成真正的安全威胁。经核实的安全问题会立即得到纠正,问题的严重性决定了响应的紧迫性。如果安全问题源于第三方库,Qt Group将主动通知相关方,并在Qt软件的后续维护版本中集成解决方案。所有经过验证的安全问题都会被全面记录在案,也会记录在公共的 常见漏洞和暴露风险(CVE) 数据库中。此外,Qt框架还将向Qt商业版客户提供预警列表 (EWL),以便提前通知已验证的安全问题。
未来,EWL流程将扩展到Qt Group所有商业软件产品,并可供所有产品类型的商业客户使用。
Qt项目开源安全与漏洞处理
Qt项目在开放的流程中开发Qt开发框架和工具,并为其开源框架制定了明确的安全问题处理流程。当前的流程记录在Qt项目改进提案(QUIP),具体记录在QUIP 0015中。Qt项目将努力更新其流程和实践,以遵守CRA的要求,包括特定的开源CRA条款。以下是Qt项目流程的概述:
- 安全团队支持: Qt项目有一个核心安全团队,由选定的开发人员组成,负责确保遵守安全政策。
- 主动审查措施:项目采用定期代码审查、静态代码分析和模糊测试来防止安全漏洞。
- 安全问题报告: 安全问题不应通过常规错误跟踪器报告,而应直接发送到Qt项目安全团队:security@qt-project.org。对于商业许可证持有者,可通过Qt Account Support Center报告问题。
- 报告问题处理:核心安全团队评估并处理报告的安全问题,并根据需要与模块维护人员协调。
- 信息公开透明: Qt项目相信完全公开的原则,提供有关补丁位置和受影响软件版本的完整信息。
该流程旨在确保高效、透明地处理安全问题,同时维护Qt框架的完整性。
软件物料清单(SBOM)许可
软件供应链日益复杂。CRA的一个方面(也在最近的美国行政命令和指导中有所涉及)是要求提供软件物料清单(SBOM)。SBOM文档将是企业CRA合规性的关键部分。Qt Group将在Qt 6.8 LTS中提供标准格式的SBOM文档。随后,Qt Group还将对整个产品组合进一步开发文档。
此外,我们欢迎客户就资源和工具提供更多反馈和意见,这些资源和工具将在客户基于其完整软件栈创建SBOM的过程中发挥重要作用。
