Linux基金會研究部門(Linux Foundation Research)與開放原始碼安全基金會(OpenSSF)於6月發布報告,指出全球軟體與開放原始碼生態系對歐盟網路韌性法案(Cyber Resilience Act,CRA)的認知與準備仍明顯不足。這項調查於2026年初進行,共有843名來自歐洲、北美、亞太等地區的軟體產業與開放原始碼相關人員參與。結果顯示,有66%受訪者表示不熟悉CRA。
歐盟網路韌性法案涵蓋多數可連接裝置或網路的硬體與軟體產品。依CRA實施時程,法規將於2027年12月11日全面適用,但製造商必須自2026年9月11日起,通報遭積極利用的產品漏洞與嚴重資安事件。
在製造商準備程度方面,報告指出,目前只有32%受訪製造商已經針對所有產品建立軟體物料清單(SBOM),僅34%定期評估所使用開源元件的安全管理實務,與CRA要求製造商主動管理第三方元件風險的方向仍有落差。
報告也分析Linux基金會旗下專案資料平臺LFX的資料,在CVE趨勢部分,以LFX索引的14,204個開放原始碼專案為樣本,發現2026年第1季新公開CVE數量較去年同期增加394%,高嚴重性漏洞則增加811%。研究人員指出,這波成長可能與AI自動化漏洞掃描工具普及、納入索引的專案範圍擴大,以及CRA監管壓力促使企業展開軟體相依元件的內部盤點,導致過去未被記錄的潛在問題逐漸浮現。
