Debians logotyp
För några dagar sedan resultatet av den allmänna omröstningen av Debians projektutvecklare, där har avgett sin ståndpunkt angående projektet av Cyber Resilence Law (CRA) föreslagen i Europeiska unionen.
Cyber Resilence Law syftar till att ställa krav ytterligare för mjukvarutillverkare, med syftet att förbättra säkerheten och sårbarhetshanteringen under hela produktens livscykel. Debiangemenskapen uttryckte dock oro över den potentiella inverkan på ekosystemet för utveckling av programvara med öppen källkod.
Vad är lagen om cyberresilience?
Cyber Resilence Act (CRA) Det är en lagstiftning som föreslås av Europeiska kommissionen som syftar till öka cybersäkerheten för digitala produkter och tjänster inom Europeiska unionen.
CRA fastställer en rad krav för tillverkare och leverantörer av digitala produkter och tjänster, som måste uppfyllas under hela livscykeln för produkten eller tjänsten och i händelse av bristande efterlevnad av kraven, planeras att införa böter som kan uppgå till 15 miljoner euro eller 2,5 % av företagets årliga omsättning.
När lagstiftningen väl har antagits, Tillverkare kommer att bli skyldiga att underlätta distributionen av patchar för att åtgärda sårbarheter i sina produkter. Förutom, måste göra säkerhetsriskbedömningar innan nya produkter lanseras på marknaden och utföra säkerhetstester. I synnerhet kommer obligatoriska externa revisioner för kritiska system att genomföras. Förutom, Tillverkare förväntas eliminera alla sårbarheter under hela produktens livscykel och rapportera säkerhetsincidenter inom högst 24 timmar efter upptäckten till Europeiska unionens cybersäkerhetsbyrå (ENISA).
Det är värt att nämna att den huvudsakliga effekten av lagstiftningen kommer att falla på kommersiella mjukvarutillverkare, men Det finns en oro i samhället angående dess eventuella negativa effekt på utveckling ekosystem programvara med öppen källkod.
Huvudpunkter av oro
Juridiskt ansvar för Debian
Lagförslaget inför juridiskt ansvar för underlåtenhet att följa säkerhetskraven, vilket går emot Debians sociala ansvar att distribuera programvara för vilket ändamål som helst och utan begränsningar. Genom att inte spåra kodens härkomst och distribuera programvara för något syfte utan begränsningar, står Debian inför rättsliga risker när de tillämpar kraven i CRA.
Möjlig pensionering med öppen källkod
CRA kan leda uppströmsprojekt att sluta tillhandahålla sin kod av rädsla för sanktioner. Detta kan också göra det svårt för communityn med öppen källkod att dela kod, eftersom utvecklare måste överväga de juridiska konsekvenserna.
Inverkan på utvecklingen av öppen källkod
Samhället fruktar att CRA kan begränsa utvecklingen av projekt med öppen källkod och hindra internationell utveckling av programvara med öppen källkod. Företag som använder eller bidrar till projekt med öppen källkod kan vara ansvariga för säkerhetsfrågor, även om koden skapats i andra länder.
Juridiska risker för självständiga projekt
Oberoende projekt som innehåller kod från kommersiella tillverkare kan få osäkra juridiska konsekvenser eftersom det juridiska ansvaret som införts av CRA kan påverka överföringen av kod mellan kommersiella och icke-kommersiella projekt.
Rapporteringskravens tveksamma karaktär
Utvecklare uttrycker tvivel om kravet att rapportera säkerhetsfrågor till Europeiska byrån för nät- och informationssäkerhet (ENISA) inom 24 timmar. Att samla information om opatchade sårbarheter på ett ställe kan innebära betydande risker i händelse av en dataläcka.
Krav och förslag
Uteslutning från utveckling av öppen källkod
Debianutvecklare kräver att utveckling av öppen källkod ska tas bort från CRA helt och att lagen endast ska gälla för slutprodukter.
Undantag för enskilda näringsidkare och småföretag
Det föreslås att CRA-kraven inte ska gälla för enskilda näringsidkare och småföretag, eftersom de kanske inte uppfyller alla krav och kan tvingas stänga.
Omprövning av rapporteringskrav
Debianutvecklare kräver en omvärdering av behovet och karaktären av CRA-rapporteringskraven, med tanke på de potentiella associerade säkerhetsriskerna.
Debianutvecklarnas uttalande understryker vikten av att bevara den öppna och kollaborativa karaktären hos utveckling av programvara med öppen källkod mitt i farhågor som väckts av det föreslagna CRA.
Slutligen, om du är intresserad av att lära dig mer om det, kan du konsultera detaljerna i följande länk.