Prieš kelias dienas visuotinio balsavimo rezultatai Debian projektų kūrėjai, kurioje išsakė savo poziciją dėl projekto Kibernetinio atsparumo įstatymo (RRT) siūlomas Europos Sąjungoje.
Kibernetinio atsparumo įstatymu siekiama nustatyti reikalavimus papildoma programinės įrangos gamintojams, siekiant pagerinti saugumą ir pažeidžiamumo valdymą per visą produkto gyvavimo ciklą. Tačiau Debian bendruomenė išreiškė susirūpinimą dėl galimo poveikio atvirojo kodo programinės įrangos kūrimo ekosistemai.
Kas yra kibernetinio atsparumo įstatymas?
Kibernetinio atsparumo įstatymas (CRA) Tai Europos Komisijos pasiūlytas teisės aktas kad turi tokį patį tikslą padidinti skaitmeninių produktų ir paslaugų kibernetinį saugumą Europos Sąjungoje.
CRA nustato eilę reikalavimų gamintojams ir tiekėjams skaitmeninių produktų ir paslaugų, kurios turi būti tenkinamos per visą prekės ar paslaugos gyvavimo ciklą ir neatitikus reikalavimų, numatoma įvesti baudas, kurios gali siekti 15 milijonų eurų arba 2,5% įmonės metinės veiklos. apyvarta.
Priėmus įstatymą, Gamintojai turės palengvinti pataisų platinimą, kad pašalintų jų produktų pažeidžiamumą. Be to, prieš pateikdamas rinkai naujus produktus, privalo atlikti saugumo rizikos vertinimus ir atlikti saugumo testus. Visų pirma bus įgyvendintas privalomas išorinis kritinių sistemų auditas. Be to, Tikimasi, kad gamintojai pašalins visus pažeidžiamumus per visą produkto gyvavimo ciklą ir ne vėliau kaip per 24 valandas nuo jų aptikimo pranešti apie saugumo incidentus Europos Sąjungos kibernetinio saugumo agentūrai (ENISA).
Verta paminėti, kad pagrindinis teisės akto poveikis teks komercinės programinės įrangos gamintojams, tačiau Visuomenėje yra susirūpinimas dėl galimo neigiamo poveikio plėtros ekosistema atvirojo kodo programinė įranga.
Pagrindiniai susirūpinimą keliantys dalykai
Debian'o teisinė atsakomybė
Įstatymo projektas numato teisinę atsakomybę už saugumo reikalavimų nesilaikymą, o tai prieštarauja Debian'o socialinei atsakomybei platinti programinę įrangą bet kokiu tikslu ir be apribojimų. Nesekdamas kodo kilmės ir neplatindamas programinės įrangos jokiais tikslais be apribojimų, Debian'as, taikydamas CRA nustatytus reikalavimus, susiduria su teisine rizika.
Galimas atvirojo kodo išėjimas į pensiją
CRA gali paskatinti ankstesnius projektus nustoti teikti savo kodą, bijodama sankcijų. Dėl to atvirojo kodo bendruomenei gali būti sunku dalytis kodu, nes kūrėjai turės atsižvelgti į teisines pasekmes.
Poveikis atvirojo kodo plėtrai
Bendruomenė baiminasi, kad CRA gali apriboti atvirojo kodo projektų plėtrą ir trukdyti tarptautinei atvirojo kodo programinės įrangos plėtrai. Įmonės, kurios naudoja arba prisideda prie atvirojo kodo projektų, gali būti atsakingos už saugumo problemas, net jei kodas buvo sukurtas kitose šalyse.
Teisinė rizika nepriklausomiems projektams
Nepriklausomi projektai, kuriuose naudojamas komercinių gamintojų kodas, gali susidurti su neaiškiomis teisinėmis pasekmėmis, nes kredito reitingų agentūros nustatyta teisinė atsakomybė gali turėti įtakos kodo perkėlimui tarp komercinių ir nekomercinių projektų.
Abejotinas ataskaitų teikimo reikalavimų pobūdis
Kūrėjai išreiškia abejonių dėl reikalavimo per 24 valandas pranešti apie saugumo problemas Europos tinklų ir informacijos apsaugos agentūrai (ENISA). Informacijos apie nepataisytas spragas kaupimas vienoje vietoje gali kelti didelę riziką duomenų nutekėjimo atveju.
Reikalavimai ir pasiūlymai
Išimtis iš atvirojo kodo kūrimo
Debian'o kūrėjai ragina visiškai pašalinti atvirojo kodo kūrimą iš CRA ir įstatymą taikyti tik galutiniams produktams.
Išimtis individualiems verslininkams ir mažoms įmonėms
Siūloma, kad KRA reikalavimai nebūtų taikomi individualiems verslininkams ir smulkaus verslo subjektams, nes jie gali neatitikti visų reikalavimų ir gali būti priversti užsidaryti.
Ataskaitų teikimo reikalavimų pakartotinis įvertinimas
„Debian“ kūrėjai ragina iš naujo įvertinti CRA ataskaitų teikimo reikalavimų poreikį ir pobūdį, atsižvelgiant į galimus susijusius saugumo pavojus.
Debian'o kūrėjų pareiškime pabrėžiama, kaip svarbu išsaugoti atvirojo kodo programinės įrangos kūrimo atvirąjį ir bendradarbiavimo pobūdį, atsižvelgiant į siūlomos CRA keliamus rūpesčius.
Galiausiai, jei norite sužinoti daugiau apie tai, galite peržiūrėti išsamią informaciją sekanti nuoroda.