Ehdotetulla EU:n kyberresilienssilakilla voi olla kielteisiä seurauksia Pythonille

Deb Nicholson Python Software Foundationin toiminnanjohtaja ilmoitti, että ehdotettu kyberresilienssilaki Viime vuonna lanseerattu EU:n (CRA) voi aiheuttaa ongelmia, jotka vaarantavat organisaation tehtävän ja vapaiden ohjelmistojen yhteisön mainetta.

Ehdotus on tarpeen käyttäjien luottamuksen lisäämiseksi ja digitaalisia elementtejä sisältävien EU-tuotteiden houkuttelevuuden lisäämiseksi ja samalla oikeusvarmuuden takaamiseksi.

Niiden, jotka eivät ole tietoisia Python Software Foundationista (PSF), sinun pitäisi tietää tämä on voittoa tavoittelematon hyväntekeväisyysjärjestö, jonka tavoitteena on edistää, suojella ja edistää kieltä ohjelmointi Python. Python Software Foundation helpottaa teknisiä keskusteluja laajempaa ekosysteemiä varten ja tukee monia koulutusmahdollisuuksia globaalille Python-kehittäjäyhteisölle.

La Python Software Foundation ilmaisee huolensa politiikan joistakin muotoiluista tällä hetkellä ehdotettu "ei se on tarpeeksi selkeä Pythonin kaltaiselle ekosysteemille." Kuten tällä hetkellä kirjoitetaan, Free Software Foundation voi olla taloudellisesti vastuussa kaikista Python-koodia sisältävistä tuotteista, vaikka se ei ole koskaan saanut rahallista voittoa mistään näistä tuotteista.

"Suurten mahdollisten kustannusten riski käytännössä estäisi meitä jatkamasta Pythonin ja PyPI:n toimittamista Euroopan yleisölle. »

Deb Nicholson mainitsee, että "varmasti kaikki haluavat turvallisuutta, että kuluttajilla on kohtuulliset takuut ja että ohjelmistoteollisuus on tilivelvollinen asiakkailleen." On kuitenkin olennaista, että näitä takeita odotetaan oikealta taholta ja että raportoinnin laiminlyönnistä johtuva oikeudellinen taakka on oikealla taholla.

Monet kaupallisiin ohjelmistoihin tai laitteistotuotteisiin päätyvät ohjelmistot tulevat ilmaisista, julkisesti saatavilla olevista ohjelmistovarastoista, kuten PyPI, joista ei makseta korvausta. Avoimen lähdekoodin kieliä ja tietovarastoja ei saa kiittää julkisista palveluista, joita ne tarjoavat ilmaiseksi ja jatkuvat tuhoisten ja kalliiden oikeustoimien vaara. FSP:n ei pitäisi olla vastuussa kaikista Python-koodia sisältävistä sovelluksista tai laitteista.

PSF:n mukaan vastuun jakaminen jokaiselle alkupään kehittäjälle vähentäisi turvallisuutta, ei lisää sitä. Yksittäisten ja/tai aliresurssien kehittäjien jättäminen oikeudellisesti epäselvään asemaan osallistumalla julkisiin tietovarastoihin, kuten Python Package Index, vaikuttaisi varmasti heihin kielteisesti.

Vain sellaiset tahot, jotka myyvät riittävästi ohjelmistoja tai ohjelmisto/laitteisto-yhdistelmiä ottaakseen tuotevastuun, voivat jatkaa toimintaansa avoimesti. Maailmanlaajuisen ohjelmistoyhteistyön käyttäjäparannukset ja yhteiset tietoturvaedut olisivat vain muutaman suuren yrityksen puolesta työskentelevien kehittäjien saatavilla.

Toisaalta mainitaan myös, että kasvu ja innovaatio tukahduttaisivat, koska kielten turvallisuus mm. Python riippuu neutraalin kokonaisuuden jatkuvasta saatavuudesta ja ei-kaupallinen, joka voi toimia tietokeskuksena uusille ohjelmistoille, parannuksille ja virheenkorjauksille, jotka ohjelmistoyhteisö voi vapaasti jakaa.

"PSF:n jäsenet ja Python-käyttäjät Euroopassa voivat kirjoittaa Euroopan parlamentin jäsenilleen ilmaistakseen huolensa EU:n kyberresilienssilakista ennen huhtikuun 26. päivää, koska vielä harkitaan muutoksia julkisten tietovarastojen suojaamiseksi ilmaisilta ohjelmistoilta. 

Valtuutetun edustajan nimeäminen on mahdollista: itse asiassa valmistajana voit nimetä ulkopuolisen edustajan, joka voi vapauttaa sinut EU-vaatimustenmukaisuusvakuutuksen hallinnoinnista ja markkinavalvontaa varten.

Lopuksi, ei ole liian aikaista aloittaa vastaavanlainen suunnittelu, mukauttaa digitaalisten tuotteiden strategiaasi ja valita oikeat asiantuntijakumppanit, jotta et menetä mahdollisuutta päästä EU:n sisämarkkinoille.

Siinä mainitaan erikseen, että vaikka kyberresilienssilaki tukee asetettuja poliittisia tavoitteita lisätä eurooppalaisten ohjelmistokuluttajien turvallisuutta ja vastuuta, Python Software Foundation sanoo olevansa huolissaan siitä, että liian laajat käytännöt voivat vahingoittaa tahattomasti käyttäjiä, joita niiden on tarkoitus suojella.

"Mielestämme on tärkeää ottaa huomioon toimittajien agnostisten järjestöjen, erityisesti julkisten ohjelmistovarastojen, rooli nykyaikaisessa ohjelmistokehityksessä. 

Monet nykyaikaiset ohjelmistojen julkaisijat luottavat julkisista tietovarastoista saataviin avoimen lähdekoodin ohjelmistoihin ilmoittamatta kirjoittajalle ja varmasti ilman kaupallista tai sopimussuhdetta hänen kanssaan. Jos ehdotettua lakia sovelletaan nykyisellä tavalla, kirjoittajat voivat olla juridisesti ja taloudellisesti vastuussa siitä, miten sen osia sovelletaan kolmannen osapuolen kaupalliseen tuotteeseen.

Python Software Foundationin mukaan nykyisessä tekstissä ei ole eroa riippumattomien tekijöiden välillä, joille ei ole koskaan maksettu ohjelmistojen toimittamisesta, ja teknologiajättiläisille, jotka myyvät tuotteita vastineeksi loppukäyttäjien maksuista.

”Uskomme, että suurin vastuu on annettava huolellisesti kuluttajan kanssa sopimuksen tehneelle taholle. Yhdessämme eurooppalaisten kollegojemme kanssa Eclipse Foundationissa ja NLnet Labsissa ilmaisemaan huolemme siitä, kuinka nämä käytännöt voivat vaikuttaa maailmanlaajuisiin avoimen lähdekoodin projekteihin. "

Teemme monia muita asioita hyväntekeväisyystehtävämme palveluksessa”, mutta Python Software Foundation voi vaikuttaa kahteen toimintaan:

”Kukaan ei maksa meille ohjelmistosta, ei peruskielestä tai paketeista, jotka voit ladata ylläpitämästämme arkistosta. Ensi silmäyksellä tämä saattaa viitata siihen, että Python- tai Python-paketeista ei tehdä rahaa. Itse asiassa asia on päinvastoin”, Python Software Foundation sanoo.

Lopuksi, jos haluat tietää enemmän siitä, voit tutustua yksityiskohtiin Seuraavassa linkissä.