Debian 徽标
几天前,全委会投票结果出来了 Debian 项目开发人员, 在其中 已就该项目发表了立场 《网络弹性法》(国税局)在欧盟提出。
网络弹性法旨在制定要求 对于软件制造商来说, 旨在提高安全性和漏洞管理 整个产品生命周期。然而,Debian 社区对开源软件开发生态系统的潜在影响表示担忧。
什么是网络弹性法?
网络弹性法案(CRA) 这是欧盟委员会提出的立法 具有目标 提高数字产品和服务的网络安全 在欧盟。
税务局 为制造商和供应商制定了一系列要求 数字产品和服务必须在产品或服务的整个生命周期中满足这一要求,如果不符合要求,计划处以最高 15 万欧元或公司年收入 2,5% 的罚款周转。
一旦立法通过, 制造商将被要求促进补丁的分发,以解决其产品中的漏洞。除了, 新产品投放市场前必须进行安全风险评估 并执行安全测试。特别是,将对关键系统实施强制性外部审计。除了, 制造商应消除整个产品生命周期中的任何漏洞 并在发现安全事件后最多 24 小时内向欧盟网络安全机构 (ENISA) 报告。
值得一提的是,该立法的主要影响将落在商业软件生产者身上,但 社会各界担心其可能对社会造成负面影响 发展生态系统 开源软件。
主要关注点
Debian 的法律责任
该法案规定了不遵守安全要求的法律责任,这违背了 Debian 出于任何目的且不受限制地分发软件的社会责任。由于不跟踪代码的出处并不受限制地出于任何目的分发软件,Debian 在应用 CRA 中规定的要求时面临法律风险。
开源可能退役
由于担心受到制裁,CRA 可能会导致上游项目停止提供代码。这也可能使开源社区难以共享代码,因为开发人员需要考虑法律影响。
对开源开发的影响
社区担心 CRA 可能会限制开源项目的进步并阻碍开源软件的国际发展。使用或贡献开源项目的公司可能要对安全问题负责,即使代码是在其他国家/地区创建的。
独立项目的法律风险
纳入商业制造商代码的独立项目可能会面临不确定的法律后果,因为 CRA 引入的法律责任可能会影响商业和非商业项目之间的代码转移。
报告要求的可疑性质
开发者对在 24 小时内向欧洲网络和信息安全局 (ENISA) 报告安全问题的要求表示怀疑。在一个地方积累有关未修补漏洞的信息可能会在发生数据泄漏时带来重大风险。
需求与建议
排除在开源开发之外
Debian 开发者呼吁将开源开发完全从 CRA 中删除,并且该法律仅适用于最终产品。
个体工商户和小型企业的豁免
建议 CRA 要求不适用于个体经营者和小型企业,因为它们可能无法满足所有要求并可能被迫关闭。
重新评估报告要求
Debian 开发人员呼吁重新评估 CRA 报告要求的必要性和性质,考虑潜在的相关安全风险。
Debian 开发者的声明强调了在拟议的 CRA 提出的担忧中保持开源软件开发的开放性和协作性的重要性。
最后,如果您有兴趣了解更多信息,可以查阅详细信息 以下链接。