歐盟網路韌性法案9月啟動漏洞與資安事件通報義務，Linux基金會示警全球軟體生態系準備不足

歐盟網路韌性法案涵蓋多數可連接裝置或網路的硬體與軟體產品。依CRA實施時程，法規將於2027年12月11日全面適用，但製造商必須自2026年9月11日起，通報遭積極利用的產品漏洞與嚴重資安事件。

在製造商準備程度方面，報告指出，目前只有32%受訪製造商已經針對所有產品建立軟體物料清單（SBOM），僅34%定期評估所使用開源元件的安全管理實務，與CRA要求製造商主動管理第三方元件風險的方向仍有落差。

報告也分析Linux基金會旗下專案資料平臺LFX的資料，在CVE趨勢部分，以LFX索引的14,204個開放原始碼專案為樣本，發現2026年第1季新公開CVE數量較去年同期增加394%，高嚴重性漏洞則增加811%。研究人員指出，這波成長可能與AI自動化漏洞掃描工具普及、納入索引的專案範圍擴大，以及CRA監管壓力促使企業展開軟體相依元件的內部盤點，導致過去未被記錄的潛在問題逐漸浮現。