Debian Developer Statement over de Cyber ​​Resilience Law

Darkcrizt

4 minuten

Debian-logo

Debian-logo

Een paar dagen geleden werden de resultaten van de algemene stemming van de Debian-projectontwikkelaars, waarin hebben hun standpunt over het project bekendgemaakt van de Cyberweerbaarheidswet (CRA) voorgesteld in de Europese Unie.

De Wet Cyberweerbaarheid heeft tot doel eisen te stellen extra voor softwarefabrikanten, met als doel de beveiliging en het beheer van kwetsbaarheden te verbeteren gedurende de gehele levenscyclus van het product. De Debian-gemeenschap uitte echter haar bezorgdheid over de mogelijke impact op het ecosysteem voor de ontwikkeling van open source-software.

Wat is de Cyberweerbaarheidswet?

De Cyber ​​Resilience Act (CRA) Het is wetgeving voorgesteld door de Europese Commissie welke doelstellingen de cyberbeveiliging van digitale producten en diensten te vergroten in de Europese Unie.

De CRA stelt een reeks eisen vast voor fabrikanten en leveranciers van digitale producten en diensten, waaraan moet worden voldaan gedurende de gehele levenscyclus van het product of de dienst, en in geval van niet-naleving van de vereisten is het de bedoeling boetes in te voeren die kunnen oplopen tot 15 miljoen euro of 2,5% van de jaarlijkse bedrijfsopbrengsten. afzet.

Zodra de wetgeving is aangenomen, Fabrikanten zullen verplicht worden de distributie van patches te vergemakkelijken om kwetsbaarheden in hun producten aan te pakken. Daarnaast, moeten veiligheidsrisicobeoordelingen uitvoeren voordat nieuwe producten op de markt worden gelanceerd en beveiligingstests uitvoeren. In het bijzonder zullen verplichte externe audits voor kritische systemen worden geïmplementeerd. Daarnaast, Van fabrikanten wordt verwacht dat ze eventuele kwetsbaarheden gedurende de gehele levenscyclus van het product elimineren en veiligheidsincidenten binnen maximaal 24 uur na ontdekking ervan melden aan het cyberbeveiligingsagentschap van de Europese Unie (ENISA).

Het is vermeldenswaard dat de belangrijkste impact van de wetgeving zal vallen op commerciële softwareproducenten, maar Er bestaat bezorgdheid in de gemeenschap over de mogelijke negatieve gevolgen ervan voor de bevolking ontwikkeling ecosysteem open source software.

Belangrijkste aandachtspunten

Wettelijke aansprakelijkheid voor Debian

Het wetsvoorstel introduceert wettelijke aansprakelijkheid voor het niet naleven van de beveiligingsvereisten, wat indruist tegen de sociale verantwoordelijkheid van Debian om software voor welk doel dan ook en zonder beperkingen te verspreiden. Door de herkomst van code niet na te gaan en software voor welk doel dan ook zonder beperkingen te distribueren, loopt Debian juridische risico's bij het toepassen van de vereisten uiteengezet in de CRA.

Mogelijke pensionering van open source

De CRA zou upstream-projecten kunnen leiden om te stoppen met het verstrekken van hun code uit angst voor sancties. Dit zou het voor de open source-gemeenschap ook moeilijk kunnen maken om code te delen, omdat ontwikkelaars rekening moeten houden met de juridische implicaties.

Impact op open source-ontwikkeling

De gemeenschap vreest dat de CRA de voortgang van open source-projecten zou kunnen beperken en de internationale ontwikkeling van open source-software zou kunnen belemmeren. Bedrijven die gebruik maken van of bijdragen aan open source-projecten kunnen verantwoordelijk zijn voor beveiligingsproblemen, zelfs als de code in andere landen is gemaakt.

Juridische risico's voor zelfstandige projecten

Onafhankelijke projecten die code van commerciële fabrikanten bevatten, kunnen te maken krijgen met onzekere juridische gevolgen, aangezien de door de CRA geïntroduceerde wettelijke aansprakelijkheid van invloed zou kunnen zijn op de overdracht van code tussen commerciële en niet-commerciële projecten.

Twijfelachtige aard van rapportagevereisten

Ontwikkelaars uiten twijfels over de verplichting om beveiligingsproblemen binnen 24 uur te melden aan het European Network and Information Security Agency (ENISA). Het verzamelen van informatie over niet-gepatchte kwetsbaarheden op één plek kan aanzienlijke risico’s met zich meebrengen in het geval van een datalek.

Eisen en voorstellen

Uitsluiting van open source-ontwikkeling

Debian-ontwikkelaars roepen op om open source-ontwikkeling volledig uit de CRA te verwijderen en om de wet alleen van toepassing te laten zijn op eindproducten.

Vrijstelling voor eenmanszaken en kleine bedrijven

Er wordt voorgesteld dat de CRA-vereisten niet van toepassing zijn op eenmanszaken en kleine bedrijven, omdat deze mogelijk niet aan alle vereisten voldoen en gedwongen kunnen worden te sluiten.

Herbeoordeling van rapportagevereisten

Debian-ontwikkelaars roepen op tot een herbeoordeling van de noodzaak en de aard van de CRA-rapportagevereisten, rekening houdend met de potentiële daaraan verbonden veiligheidsrisico's.

De verklaring van de Debian-ontwikkelaars benadrukt het belang van het behoud van het open en collaboratieve karakter van de ontwikkeling van open source-software, te midden van de zorgen die door de voorgestelde CRA naar voren zijn gebracht.

Als u er ten slotte meer over wilt weten, kunt u de details raadplegen in de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.