Muutama päivä sitten yleisen äänestyksen tulokset Debian-projektien kehittäjät, missä ovat ilmaisseet kantansa hankkeeseen kyberresilienssilain (CRA) ehdotetaan Euroopan unionissa.
Cyber Resilience Law pyrkii asettamaan vaatimuksia lisäohjelmiston valmistajille, turvallisuuden ja haavoittuvuuksien hallinnan parantamiseksi koko tuotteen elinkaaren ajan. Debian-yhteisö ilmaisi kuitenkin huolensa mahdollisista vaikutuksista avoimen lähdekoodin ohjelmistokehitysekosysteemiin.
Mikä on kyberresilienssilaki?
Cyber Resilience Act (CRA) Se on Euroopan komission ehdottama lainsäädäntö sillä on yhtä tavoite lisätä digitaalisten tuotteiden ja palveluiden kyberturvallisuutta Euroopan unionissa.
CRA asettaa joukon vaatimuksia valmistajille ja toimittajille digitaalisista tuotteista ja palveluista, jotka on täytettävä tuotteen tai palvelun koko elinkaaren ajan ja mikäli vaatimuksia ei noudateta, suunnitellaan sakkoja, jotka voivat nousta 15 miljoonaan euroon tai 2,5 prosenttiin yrityksen vuositasosta. liikevaihto.
Kun laki on hyväksytty, Valmistajien on helpotettava korjaustiedostojen jakelua tuotteidensa haavoittuvuuksien korjaamiseksi. Sitä paitsi, on tehtävä turvallisuusriskiarvioinnit ennen uusien tuotteiden markkinoille saattamista ja suorittaa turvatestejä. Erityisesti kriittisten järjestelmien pakolliset ulkoiset auditoinnit toteutetaan. Sitä paitsi, Valmistajien odotetaan poistavan kaikki haavoittuvuudet tuotteen koko elinkaaren ajan ja raportoimaan tietoturvaloukkauksista Euroopan unionin kyberturvallisuusvirastolle (ENISA) enintään 24 tunnin kuluessa niiden havaitsemisesta.
On syytä mainita, että lain pääasiallinen vaikutus kohdistuu kaupallisiin ohjelmistotuottajiin, mutta Yhteisössä ollaan huolissaan sen mahdollisista kielteisistä vaikutuksista kehityksen ekosysteemin avoimen lähdekoodin ohjelmisto.
Tärkeimmät huolenaiheet
Debianin oikeudellinen vastuu
Lakiehdotuksessa otetaan käyttöön laillinen vastuu turvallisuusvaatimusten noudattamatta jättämisestä, mikä on vastoin Debianin sosiaalista vastuuta jakaa ohjelmistoja mihin tahansa tarkoitukseen ja ilman rajoituksia. Koska Debian ei seuraa koodin alkuperää ja jaa ohjelmistoja mihinkään tarkoitukseen ilman rajoituksia, se kohtaa oikeudelliset riskit soveltaessaan CRA:n vaatimuksia.
Mahdollinen avoimen lähdekoodin eläkkeelle siirtyminen
Luottoluokituslaitos voisi johtaa alkuvaiheen hankkeisiin lopettamaan koodinsa tarjoaminen sanktioiden pelossa. Tämä voi myös vaikeuttaa avoimen lähdekoodin yhteisön koodin jakamista, koska kehittäjien on otettava huomioon oikeudelliset seuraukset.
Vaikutus avoimen lähdekoodin kehittämiseen
Yhteisö pelkää, että CRA voisi rajoittaa avoimen lähdekoodin hankkeiden etenemistä ja haitata avoimen lähdekoodin ohjelmistojen kansainvälistä kehitystä. Yritykset, jotka käyttävät tai osallistuvat avoimen lähdekoodin projekteihin, voivat olla vastuussa tietoturvaongelmista, vaikka koodi olisi luotu muissa maissa.
Oikeudelliset riskit itsenäisille projekteille
Riippumattomille hankkeille, jotka sisältävät kaupallisten valmistajien koodia, voi olla epävarmoja oikeudellisia seurauksia, koska luottoluokituslaitoksen asettama oikeudellinen vastuu voi vaikuttaa koodin siirtoon kaupallisten ja ei-kaupallisten projektien välillä.
Raportointivaatimusten kyseenalainen luonne
Kehittäjät ilmaisevat epäilyksensä vaatimuksesta raportoida tietoturva-asioista Euroopan verkko- ja tietoturvavirastolle (ENISA) 24 tunnin kuluessa. Tietojen kerääminen korjaamattomista haavoittuvuuksista yhteen paikkaan voi aiheuttaa merkittäviä riskejä tietovuodon sattuessa.
Vaatimukset ja ehdotukset
Poissulkeminen avoimen lähdekoodin kehityksestä
Debian-kehittäjät vaativat avoimen lähdekoodin kehitystyön poistamista CRA:sta kokonaan ja lakia koskemaan vain lopputuotteita.
Vapautus yksityisille elinkeinonharjoittajille ja pienyrityksille
Ehdotetaan, että luottoluokituslaitosten vaatimuksia ei sovelleta yksityisiin elinkeinonharjoittajiin ja pieniin yrityksiin, koska ne eivät välttämättä täytä kaikkia vaatimuksia ja ne saattavat joutua lopettamaan toimintansa.
Raportointivaatimusten uudelleenarviointi
Debian-kehittäjät vaativat CRA-raportointivaatimusten tarpeen ja luonteen uudelleenarviointia ottaen huomioon mahdolliset niihin liittyvät tietoturvariskit.
Debian-kehittäjien lausunnossa korostetaan, että on tärkeää säilyttää avoimen lähdekoodin ohjelmistokehityksen avoin ja yhteistoiminnallinen luonne ehdotetun CRA:n esiin tuomien huolenaiheiden keskellä.
Lopuksi, jos olet kiinnostunut oppimaan siitä lisää, voit tutustua yksityiskohtiin osoitteessa seuraava linkki.