تم نشر نتائج التصويت العام (GR، القرار العام) لمطوري مشروع دبيان المشاركين في صيانة الحزم وصيانة البنية التحتية، حيث تم نشر نص بيان يعبر عن موقف المشروع فيما يتعلق بمشروع قانون قانون المرونة السيبرانية (CRA) تمت الموافقة على الترويج له في الاتحاد الأوروبي. يقدم مشروع القانون متطلبات إضافية لمصنعي البرامج تهدف إلى تحفيز الحفاظ على الأمن، والكشف عن المعلومات حول الحوادث، والقضاء الفوري على نقاط الضعف طوال دورة حياة المنتج.
وفي حالة انتهاك المتطلبات، من المقرر فرض غرامات قد تصل إلى 15 مليون يورو أو 2.5% من حجم مبيعات الشركة السنوي. بمجرد إقرار مشروع القانون، سيُطلب من الشركات المصنعة توفير الوسائل اللازمة لتقديم تصحيحات لنقاط الضعف، وإجراء تقييمات المخاطر الأمنية قبل طرح المنتج في السوق، وإجراء اختبار أمان المنتج (يتم تقديم عمليات تدقيق خارجية إلزامية للأنظمة المهمة)، والقضاء على نقاط الضعف في جميع أنحاء دورة الحياة، وإيصال المعلومات حول الحوادث الأمنية خلال 24 ساعة بعد اكتشاف المشكلة.
على الرغم من حقيقة أنه، وفقًا للاتجاهات الناشئة، فإن مشروع القانون سيؤثر فقط على منتجي البرمجيات التجارية، إلا أن المجتمع يشعر بالقلق بشأن تأثيره السلبي على النظام البيئي لتطوير البرمجيات مفتوحة المصدر وينظر إلى مشروع القانون كعامل يعيق تقدم المشاريع مفتوحة المصدر. ويعيق تطوير البرمجيات مفتوحة المصدر كحركة دولية. ستتحمل الشركات التي تقوم بتطوير منتجات تعتمد على مشاريع دولية مفتوحة المصدر أو تستخدم مكتبات مفتوحة المصدر المسؤولية عن المشكلات الأمنية والتصحيح غير الكافي لنقاط الضعف في الكود، حتى لو تم كتابة هذا الكود بواسطة متحمسين من بلدان أخرى. ومن المتوقع أن يؤدي ظهور مخاطر تجارية إضافية إلى تقليل جاذبية إنشاء برامج تعتمد على المصادر المفتوحة.
وفي الوقت نفسه، قد تتأثر أيضًا المشاريع المستقلة التي تتضمن تعليمات برمجية من الشركات المصنعة للمنتجات التجارية بالعواقب القانونية. على سبيل المثال، هناك عدم يقين بشأن المسؤولية في الحالات التي يمكن فيها نقل التعليمات البرمجية مفتوحة المصدر التي طورتها شركة تجارية إلى مشاريع غير تجارية تابعة لجهات خارجية واستخدامها في توزيعات Linux.
يفرض مشروع القانون المسؤولية القانونية عن عدم الامتثال لمتطلبات الأمان، الأمر الذي يتعارض مع مسؤولية دبيان الاجتماعية لتوزيع البرامج لأي غرض وبدون قيود. لا يتتبع دبيان مشاركة التعليمات البرمجية في المشاريع التجارية، وتوظيف المطورين ومصادر التمويل للتطوير المقدم في التوزيع، لذا فإن فرض المتطلبات المحددة في مشروع القانون يزيد من المخاطر القانونية عند استخدام التوزيع.
هناك خطر من أن تتوقف المشاريع الأولية عن تقديم التعليمات البرمجية الخاصة بها بسبب المخاوف من الوقوع تحت قانون CRA وتطبيق العقوبات المرتبطة به. قد تجعل CRA أيضًا مشاركة التعليمات البرمجية مفتوحة المصدر مع المجتمع أكثر صعوبة، مما يتطلب من المطورين تقييم الآثار القانونية المترتبة على إتاحة التعليمات البرمجية. بالإضافة إلى ذلك، فإن مشروع القانون يقلل من جاذبية عملية التطوير المفتوحة، حيث أن العمل مرئي وشفاف للجميع، ويمكن استخدام الكود أثناء عملية التطوير، مما يسمح بتطبيق متطلبات CRA أثناء العمل على المنتج، في حين أن البرمجيات الاحتكارية هي تم تطويره خلف أبواب مغلقة ويصبح خاضعًا للقانون عند الإصدار النهائي.
يطالب مطورو دبيان بإزالة التطوير مفتوح المصدر بالكامل من CRA وأن ينطبق القانون فقط على المنتجات النهائية. يُقترح أيضًا ألا تنطبق متطلبات CRA على منتجات التجار الفرديين والشركات الصغيرة، حيث لن يتمكنوا من تلبية جميع المتطلبات التي تفرضها CRA وسيضطرون إلى إغلاق أعمالهم.
يشير البيان أيضًا إلى الطبيعة المشكوك فيها لمتطلبات الإبلاغ عن المشكلات الأمنية إلى الوكالة الأوروبية لأمن الشبكات والمعلومات (ENISA) في غضون 24 ساعة من تحديد المشكلة أو تلقي معلومات حول الثغرة الأمنية. يمكن أن يؤدي تجميع المعلومات حول جميع نقاط الضعف التي لم يتم إصلاحها بعد في مكان واحد إلى مشاكل كبيرة لجميع المستخدمين في حالة تسرب المعلومات، أو نقل المعلومات إلى وكالات الاستخبارات، أو اختراق ENISA.
المصدر: opennet.ru