Czy Cyber Resilience Act (Akt dot. cyberodporności) uderzy w wolne oprogramowanie?
Czy Cyber Resilience Act (Akt dot.
Czy Cyber Resilience Act (Akt dot. cyberodporności) uderzy w wolne oprogramowanie?
Jesienią 2022 Komisja Europejska zaproponowała Cyber Resilience Act (CRA). Ma on zwiększyć cyberbezpieczeństwo produktów cyfrowych oraz uregulować kwestie związane z odpowiedzialnością za błędy. Każdy, kto wprowadza na rynek sprzęt lub oprogramowanie byłby zobowiązany do dbania o jego bezpieczeństwo IT (wprowadzenie zarządzania podatnościami oraz dostarczania aktualizacji) przez cały “cykl życia” produktu. Treść projektu wzbudziła jednak wątpliwości w środowisku open source. Python Software Foundation, Eclipse Foundation, Linux Foundation i inni przedstawiciele środowiska otwartego oprogramowania złożyli wspólne oświadczenie: “Niektóre fragmenty projektu Komisji Europejskiej dotyczącego “Cyber Resilience Act” (CRA) są tak niejasno sformułowane, że niekomercyjne organizacje open source mogą w przyszłości ponosić odpowiedzialność za błędy w komercyjnym oprogramowaniu, które wykorzystuje ich komponenty”.Główny problem ma stanowić zawarta w tekście definicja “wprowadzenia do obrotu” – może być interpretowana w taki sposób, że niekomercyjne wprowadzenie czegoś na rynek zostanie potraktowane jako komercyjne. W praktyce do odpowiedzialności mogłyby być pociągane organizacje open source, których publicznie dostępny kod został wykorzystany w jakimś komercyjnym produkcie. Python Software Foundation wprost stwierdziła, że zagroziłoby to możliwości oferowania Pythona w Europie.
W związku z zaistniałą sytuacją Linux Foundation zorganizowała dyskusję panelową podczas konferencji KubeCon w Amsterdamie. Zgromadzeni zgodnie przyznali, że o ile sama idea CRA jest dobra, to w proponowanej formule nikomu się nie przysłuży. Zwrócono też uwagę, że projekty OS, mimo, iż obecne w 70% cyfrowych produktów, wciąż są traktowane jako prywatne hobby, a Komisja Europejska, teoretycznie uznająca OS za filar europejskiej suwerenności, nawet nie wysłuchała przedstawicieli społeczności. Rządzący zdają się nie wiedzieć, z kim powinni rozmawiać o kwestiach dotyczących wolnego oprogramowania, a projekt wymaga doprecyzowania – podkreślają przedstawiciele środowiska.
Źródło: https://www.heise.de/news/EU-Gesetzentwurf-gefaehrdet-Open-Source-8983416.html
Cyber Resilience Act CRA: EU-Gesetzentwurf gefährdet Open Source
Mit dem CRA will die EU-Kommission Hard- und Software sicherer machen und Haftungsfragen klären. Der Entwurf trifft aber auch Open-Source-Projekte.Jan Mahn (heise online)
didleth
•Jesienią 2022 Komisja Europejska zaproponowała Cyber Resilience Act (CRA). Ma on zwiększyć cyberbezpieczeństwo produktów cyfrowych oraz uregulować kwestie związane z odpowiedzialnością za błędy. Każdy, kto wprowadza na rynek sprzęt lub oprogramowanie byłby zobowiązany do dbania o jego bezpieczeństwo IT (wprowadzenie zarządzania podatnościami oraz dostarczania aktualizacji) przez cały “cykl życia” produktu. Treść projektu wzbudziła jednak wątpliwości w środowisku open source. Python Software Foundation, Eclipse Foundation, Linux Foundation i inni przedstawiciele środowiska otwartego oprogramowania złożyli wspólne oświadczenie: “Niektóre fragmenty projektu Komisji Europejskiej dotyczącego “Cyber Resilience Act” (CRA) są tak niejasno sformułowane, że niekomercyjne organizacje open source mogą w przyszłości ponosić odpo... show more
Jesienią 2022 Komisja Europejska zaproponowała Cyber Resilience Act (CRA). Ma on zwiększyć cyberbezpieczeństwo produktów cyfrowych oraz uregulować kwestie związane z odpowiedzialnością za błędy. Każdy, kto wprowadza na rynek sprzęt lub oprogramowanie byłby zobowiązany do dbania o jego bezpieczeństwo IT (wprowadzenie zarządzania podatnościami oraz dostarczania aktualizacji) przez cały “cykl życia” produktu. Treść projektu wzbudziła jednak wątpliwości w środowisku open source. Python Software Foundation, Eclipse Foundation, Linux Foundation i inni przedstawiciele środowiska otwartego oprogramowania złożyli wspólne oświadczenie: “Niektóre fragmenty projektu Komisji Europejskiej dotyczącego “Cyber Resilience Act” (CRA) są tak niejasno sformułowane, że niekomercyjne organizacje open source mogą w przyszłości ponosić odpowiedzialność za błędy w komercyjnym oprogramowaniu, które wykorzystuje ich komponenty”.
Główny problem ma stanowić zawarta w tekście definicja “wprowadzenia do obrotu” – może być interpretowana w taki sposób, że niekomercyjne wprowadzenie czegoś na rynek zostanie potraktowane jako komercyjne. W praktyce do odpowiedzialności mogłyby być pociągane organizacje open source, których publicznie dostępny kod został wykorzystany w jakimś komercyjnym produkcie. Python Software Foundation wprost stwierdziła, że zagroziłoby to możliwości oferowania Pythona w Europie.
W związku z zaistniałą sytuacją Linux Foundation zorganizowała dyskusję panelową podczas konferencji KubeCon w Amsterdamie. Zgromadzeni zgodnie przyznali, że o ile sama idea CRA jest dobra, to w proponowanej formule nikomu się nie przysłuży. Zwrócono też uwagę, że projekty OS, mimo, iż obecne w 70% cyfrowych produktów, wciąż są traktowane jako prywatne hobby, a Komisja Europejska, teoretycznie uznająca OS za filar europejskiej suwerenności, nawet nie wysłuchała przedstawicieli społeczności. Rządzący zdają się nie wiedzieć, z kim powinni rozmawiać o kwestiach dotyczących wolnego oprogramowania, a projekt wymaga doprecyzowania – podkreślają przedstawiciele środowiska.
Źródło: https://www.heise.de/news/EU-Gesetzentwurf-gefaehrdet-Open-Source-8983416.html
MiKlo:~/citizen4.eu$💙💛
•- publikacja jakiegoś programu #foss, jeżeli to jest w ramach działalności non-profit, nie będzie się wiązać z odpowiedzialnością prawną za ew błędy w tym programie
- natomiast jeżeli ktoś będzie sprzedawać software (i tu chyba bez znaczenia czy to FOSS czy zamknięty soft) albo jako swój samodzielny produkt albo jako część swojego produktu (np firmware do jakiegoś sprzętu) to odpowiada generalnie za całość tego co "wprowadza do obrotu". Czyli jeśli np w tym software/firmware będą jakieś obce biblioteki, które dajmy na to bęða mieć błąd która ułatwi atak i kradzież danych nabywcy itp, to producent nie może się z... show more
- publikacja jakiegoś programu #foss, jeżeli to jest w ramach działalności non-profit, nie będzie się wiązać z odpowiedzialnością prawną za ew błędy w tym programie
- natomiast jeżeli ktoś będzie sprzedawać software (i tu chyba bez znaczenia czy to FOSS czy zamknięty soft) albo jako swój samodzielny produkt albo jako część swojego produktu (np firmware do jakiegoś sprzętu) to odpowiada generalnie za całość tego co "wprowadza do obrotu". Czyli jeśli np w tym software/firmware będą jakieś obce biblioteki, które dajmy na to bęða mieć błąd która ułatwi atak i kradzież danych nabywcy itp, to producent nie może się zasłaniać argumentem "ale to nie w moim kodzie".
I tu jest pies pogrzebany w kontekście FOSS: żeby coś komercyjnie sprzedać co zawiera jakieś kawałki obcego kodu (czyli na dzisiaj praktycznie wszystko) to żeby być zabezpieczonym na wypadek "W" trzeba by mieć dupokrytki w postaci jakieś umowy/licencji na każdy z tych kawałków kodu, że ich twórcy przejmują odpowiedzialność za problemy które wyjdą z ich biblioteką itp.
Żaden twórca czy organizacja która zarządza jakimiś niekomercyjnym projektem czegoś takiego nie podpisze. Bo skoro to oznacza odpowiedzialność finansową w razie czego to przecież taki kwit też musi się wiązać z jakąś rekompensatą - ale najczęściej nie wiadomo jaką bo "dostawca" biblioteki foss przecież nie wie czy efektem błędu w jego kodzie będzie awaria rakiety, katastrofa komunikacyjna czy jakiś zupełny bzdet.
Biorąc powyższe pod uwagę - to wychodzi na to, że jak producent ma komuś zapłacić za bibliotekę (nawet tylko jako rekompensatę za tę dupokrytkę) to jaką ma motywację żeby to był kod foss ? I jaką motywację mają twórcy foss, żeby wchodzić taki śliski model finansowania oparty na jakiś kwitach zbliżonych funkcją do polisy ubezpieczeniowej , którą to oni komuś mają udzielić ?
MiKlo:~/citizen4.eu$💙💛
•