Логотип Debian
Несколько дней назад были подведены итоги общего голосования Разработчики проекта Debian, в котором изложили свою позицию относительно проекта Закона о киберустойчивости (CRA) предложено в Европейском Союзе.
Закон о киберустойчивости направлен на установление требований дополнительно для производителей программного обеспечения, с целью улучшения безопасности и управления уязвимостями на протяжении всего жизненного цикла продукта. Однако сообщество Debian выразило обеспокоенность по поводу потенциального воздействия на экосистему разработки программного обеспечения с открытым исходным кодом.
Что такое Закон о киберустойчивости?
Закон о киберустойчивости (CRA) Это закон, предложенный Европейской комиссией. это имеет как цель повысить кибербезопасность цифровых продуктов и услуг в Европейском Союзе.
CRA устанавливает ряд требований к производителям и поставщикам цифровых продуктов и услуг, которые должны соблюдаться на протяжении всего жизненного цикла продукта или услуги, а в случае несоблюдения требований планируется ввести штрафы, которые могут достигать 15 миллионов евро или 2,5% годового дохода компании. оборот.
Как только закон будет принят, Производители будут обязаны содействовать распространению патчей для устранения уязвимостей в своих продуктах. Кроме, должны проводить оценку рисков безопасности перед запуском новых продуктов на рынок и выполнить тесты безопасности. В частности, будет реализован обязательный внешний аудит критически важных систем. Кроме, Ожидается, что производители устранят любые уязвимости на протяжении всего жизненного цикла продукта. и сообщать об инцидентах безопасности в течение максимум 24 часов после их обнаружения в агентство кибербезопасности Европейского Союза (ENISA).
Стоит отметить, что основное воздействие закона ляжет на производителей коммерческого программного обеспечения, но В обществе существует обеспокоенность по поводу возможного негативного воздействия этого явления на экосистема развития программное обеспечение с открытым исходным кодом.
Основные моменты, вызывающие беспокойство
Юридическая ответственность за Debian
Законопроект вводит юридическую ответственность за несоблюдение требований безопасности, что противоречит социальной ответственности Debian за распространение программного обеспечения в любых целях и без ограничений. Не отслеживая происхождение кода и не распространяя программное обеспечение для любых целей без ограничений, Debian сталкивается с юридическими рисками при применении требований, изложенных в CRA.
Возможен выход на пенсию с открытым исходным кодом
CRA может заставить проекты по добыче нефти прекратить предоставлять свой код из-за опасений санкций. Это также может затруднить обмен кодом для сообщества открытого исходного кода, поскольку разработчикам придется учитывать юридические последствия.
Влияние на разработку открытого исходного кода
Сообщество опасается, что CRA может ограничить продвижение проектов с открытым исходным кодом и помешать международному развитию программного обеспечения с открытым исходным кодом. Компании, которые используют проекты с открытым исходным кодом или участвуют в них, могут нести ответственность за проблемы безопасности, даже если код был создан в других странах.
Юридические риски для независимых проектов
Независимые проекты, включающие код коммерческих производителей, могут столкнуться с неопределенными юридическими последствиями, поскольку юридическая ответственность, введенная CRA, может повлиять на передачу кода между коммерческими и некоммерческими проектами.
Сомнительный характер требований к отчетности
Разработчики выражают сомнение по поводу требования сообщать о проблемах безопасности в Европейское агентство сетевой и информационной безопасности (ENISA) в течение 24 часов. Накопление информации о неисправленных уязвимостях в одном месте может представлять значительные риски в случае утечки данных.
Требования и предложения
Исключение из разработки с открытым исходным кодом
Разработчики Debian призывают полностью исключить разработку с открытым исходным кодом из CRA и применить закон только к конечным продуктам.
Освобождение для индивидуальных предпринимателей и малого бизнеса.
Предлагается не распространять требования CRA на индивидуальных предпринимателей и малый бизнес, поскольку они могут не соответствовать всем требованиям и могут быть вынуждены закрыться.
Переоценка требований к отчетности
Разработчики Debian призывают к переоценке необходимости и характера требований к отчетности CRA, принимая во внимание потенциальные связанные с этим риски безопасности.
Заявление разработчиков Debian подчеркивает важность сохранения открытого и совместного характера разработки программного обеспечения с открытым исходным кодом на фоне опасений, поднятых предложенным CRA.
Наконец, если вы хотите узнать об этом больше, вы можете ознакомиться с подробностями в по следующей ссылке.