Джэймс Ботамлі (James Bottomley) з падраздзялення IBM Research, які суправаджае падсістэмы SCSI і PA-RISC у ядры Linux і раней які ўзначальваў тэхнічны камітэт Linux Foundation, предложил вариант решения проблемы с возможным привлечением к ответственности разработчиков открытого кода за ошибки в коде или ненадлежащее устранение уязвимостей.
Ідэя заключаецца ў тым, каб перакласці юрыдычную адказнасць за памылкі ў зыходным кодзе з распрацоўшчыкаў адкрытых праектаў на пастаўшчыкоў канчатковых камерцыйных прадуктаў на аснове гэтага кода, г.зн. змясціць адказнасць з таго, хто распрацоўвае код на таго, хто зарабляе на гэтым кодзе. Напрыклад, калі кампанія выкарыстоўвае іншы адкрыты код у сваім прадукце і памылка/уразлівасць у гэтым кодзе прывяла да нанясення шкоды карыстачу, то адказваць у такой сітуацыі і пакрываць шкоду павінен вытворца перададзенага карыстачу камерцыйнага праграмнага прадукта, а не распрацоўнік адкрытай бібліятэкі.
Перакладанне адказнасці прапануецца рэалізаваць праз прымацаванне да ліцэнзіі пункта, які паказвае на згоду кампенсаваць страты і абараняць удзельнікаў распрацоўкі ад любых юрыдычных прэтэнзій у выпадку поўнага або частковага выкарыстання зыходнага кода, які прадастаўляецца пад дадзенай ліцэнзіяй, у якасці кампанента або прадукту ў юрысдыкцыях, якія накладваюць дадатковыя абавязацельствы па суправаджэнню.
У цяперашняй практыцы для зняцця з сябе юрыдычных рызык дастаткова наяўнасці ў ліцэнзіі папярэджання "AS IS", у якім заяўлена, што распрацоўшчык не нясе адказнасці за памылкі, не дае ніякіх гарантый на працаздольнасць кода і не прымае абавязацельстваў па рашэнні праблем, а спажывец згаджаецца выкарыстоўваць код на свой страх і рызыку. Адсутнасць гарантый ад распрацоўшчыкаў стымулявала развіццё бізнес-мадэлі на аснове платнай тэхнічнай падтрымкі, якая дамінавала на раннім этапе станаўлення экасістэмы ВПЗ.
Па меры пранікнення адкрытага кода ў індустрыю і росту цікавасці карпарацый да яго выкарыстання стала развівацца канцэпцыя ўплыву на распрацоўку праз некамерцыйныя фонды – на базе буйнога праекта ствараецца фонд, які атрымлівае фінансаванне на распрацоўку ад буйных кампаній, якім у адказ прадастаўляецца магчымасць уваходжання ў наглядны тэхнічны савет і ўдзел у прыняцці ў прыняцці. З'яўленне фондаў змяніла стаўленне да адкрытых праектаў, якія сталі ўспрымацца як інструмент развіцця тэхналагічнай індустрыі, а не бязладны прытулак добраахвотнікаў. Змянілася і ўспрыманне адказнасці за праблемы ў адкрытым кодзе - замест абароны асобных распрацоўшчыкаў, пункт аб адсутнасці абавязацельстваў стаў успрымацца як магчымасць сыходу ад адказнасці буйных кампаній, якія ствараюць адкрытыя прадукты.
Сітуацыя з адмовай ад абавязацельстваў можа змяніцца ў выпадку прыняцця ў Еўрасаюзе законапраекта Cyber Resilience Act, які накладвае пэўную адказнасць на вытворцаў праграмнага забеспячэння, якія належным чынам не клапоцяцца аб бяспецы і аператыўна не ўстараняюць уразлівасці на працягу жыццёвага цыкла прадукту. Законапраект закранае вытворцаў камерцыйнага ПЗ і, мяркуючы па праводжанай працы, прадаставіць спецыяльнае выключэнне для ПЗ пад адкрытымі ліцэнзіямі, але няма ніякіх гарантый, што ў будучыні дзесьці не будзе прыняты падобны закон без такіх выключэнняў.
У якасці прыкладу рызык, звязаных з адказнасцю распрацоўнікаў, таксама згадваецца ініцыяванае ў Вялікабрытаніі судовае разбіральніцтва, падчас якога кампанія Tulip Trading, якая страціла падчас узлому біткойны на суму каля 4 млрд даляраў, патрабуе ад распрацоўшчыкаў сістэмы Bitcoin унесці змены ў код блокчейна для вяртання страчанай сумы. Пазоў пададзены супраць распрацоўшчыкаў кода інструментара, а не аператараў сеткі Bitcoin. Суд першай інстанцыі адмовіў задаволіць пазоў на падставе пункта ў ліцэнзіі аб адмове ад адказнасці, але разбор быў працягнуты ў апеляцыйным судзе, які, мяркуючы па ўсім, таксама адхіліць пазоў, але на гэты раз з-за няздольнасці кампаніі Tulip Trading даказаць валоданне біткойнамі на заяўленую суму.
Крыніца: opennet.ru
