Джеймс Ботъмли от IBM Research, който поддържа подсистемите SCSI и PA-RISC в ядрото Linux и преди това е ръководил техническия комитет Linux Foundation, предложил вариант решения проблемы с возможным привлечением к ответственности разработчиков открытого кода за ошибки в коде или ненадлежащее устранение уязвимостей.
Идеята е да се прехвърли правната отговорност за грешки в изходния код от разработчиците на софтуер с отворен код към доставчиците на търговски крайни продукти, базирани на този код – тоест, да се прехвърли отговорността от тези, които разработват кода, към тези, които печелят от него. Например, ако дадена компания използва код с отворен код на трета страна в своя продукт и грешка или уязвимост в този код доведе до щети за потребителя, тогава производителят на предоставения на потребителя търговски софтуерен продукт, а не разработчикът на библиотеката с отворен код, трябва да носи отговорност и да компенсира щетите.
Предлага се прехвърлянето на отговорност да се осъществи чрез добавяне към лиценза на клауза, посочваща споразумението за компенсиране на загуби и защита на участниците в разработката от всякакви правни претенции в случай на пълно или частично използване на изходния код, предоставен по този лиценз, като компонент или продукт в юрисдикции, които налагат допълнителни задължения по отношение на поддръжката на софтуерни продукти.
В настоящата практика включването на отказ от отговорност „КАКТО Е“ в лиценза е достатъчно, за да се предотвратят правни рискове. Този отказ от отговорност гласи, че разработчикът не носи отговорност за грешки, не предоставя гаранции за функционалността на кода и не поема задължения за разрешаване на проблеми, докато потребителят се съгласява да използва кода на свой собствен риск. Липсата на гаранции от разработчиците насърчи развитието на бизнес модел, базиран на платена техническа поддръжка, който доминираше в ранните етапи на екосистемата на софтуера с отворен код.
С навлизането на отворения код в индустрията и нарастването на корпоративния интерес към неговото използване, започва да се развива концепцията за влияние върху развитието чрез фондации с нестопанска цел. Фондация се създава около голям проект, получавайки финансиране за развитие от големи компании, на които в замяна се предоставя възможността да се присъединят към съвета за технически надзор и да участват в колективни решения относно по-нататъшното развитие. Появата на фондации трансформира отношението към проектите с отворен код, които започват да се възприемат като инструмент за развитие на технологичната индустрия, а не като хаотично убежище за доброволци. Възприятието за отговорност за проблемите с отворения код също се променя: вместо да защитава отделните разработчици, клаузата за липса на обвързване започва да се разглежда като възможност за големи компании, създаващи продукти с отворен код, да избегнат отговорност.
Ситуацията с освобождаването от задължения може да се промени, ако Европейският съюз приеме Закона за киберустойчивост, който налага определени санкции на производителите на софтуер, които не успяват да се справят адекватно със сигурността и своевременно да отстранят уязвимостите през целия жизнен цикъл на продукта. Законопроектът засяга производителите на търговски софтуер и, съдейки по извършената работа, ще предостави специално изключение за софтуер с отворен код, но няма гаранция, че подобно законодателство без такива изключения няма да бъде прието другаде в бъдеще.
Друг пример за рисковете, свързани с отговорността на разработчиците, е дело, заведено във Великобритания, в което Tulip Trading, която загуби приблизително 4 милиарда долара биткойн при хакерска атака, изисква разработчиците на биткойн да направят промени в блокчейн кода, за да възстановят загубените средства. Делото е заведено срещу разработчиците на кода на инструментариума, а не срещу операторите на биткойн мрежата. Първоинстанционният съд отхвърли делото въз основа на клауза за отказ от отговорност в лиценза, но делото продължи в Апелативния съд, който се очаква също да отхвърли делото, този път поради невъзможността на Tulip Trading да докаже собствеността върху претендираното количество биткойн.
Източник: opennet.ru
