Objavljeni su rezultati općeg glasanja (GR, opća rezolucija) programera Debian projekta uključenih u održavanje paketa i održavanje infrastrukture, na kojima je tekst izjave u kojoj se izražava stav projekta u vezi Zakona o Cyber Resilience Act (CRA) promovisan u Evropskoj uniji je odobren. Predlog zakona uvodi dodatne zahtjeve za proizvođače softvera u cilju podsticanja održavanja sigurnosti, otkrivanja informacija o incidentima i brzog eliminisanja ranjivosti tokom životnog ciklusa proizvoda.
U slučaju kršenja uslova planirano je uvođenje kazni koje mogu dostići 15 miliona eura ili 2.5% godišnjeg prometa kompanije. Kada zakon bude usvojen, od proizvođača će se tražiti da obezbede sredstva za isporuku zakrpa za ranjivosti, sprovedu procene bezbednosnog rizika pre nego što proizvod iznesu na tržište, izvrše testiranje bezbednosti proizvoda (uvode se obavezne eksterne revizije za kritične sisteme), eliminišu ranjivosti u celom životnog ciklusa i prenijeti informacije o sigurnosnim incidentima u roku od 24 sata nakon otkrivanja problema.
Unatoč činjenici da će, sudeći po trendovima u nastajanju, zakon utjecati samo na proizvođače komercijalnog softvera, zajednica je zabrinuta zbog njegovog negativnog utjecaja na ekosistem razvoja softvera otvorenog koda i na prijedlog zakona gleda kao na faktor koji ograničava napredak projekata otvorenog koda. i ometa razvoj softvera otvorenog koda kao međunarodnog pokreta. Kompanije koje razvijaju proizvode zasnovane na međunarodnim projektima otvorenog koda ili koriste biblioteke otvorenog koda smatraće se odgovornim za bezbednosne probleme i neadekvatno zakrpe ranjivosti u kodu, čak i ako taj kod pišu entuzijasti iz drugih zemalja. Očekuje se da će pojava dodatnih poslovnih rizika smanjiti atraktivnost kreiranja softvera zasnovanog na otvorenom kodu.
U isto vrijeme, nezavisni projekti koji uključuju kod komercijalnih proizvođača proizvoda također mogu biti pogođeni pravnim posljedicama. Na primjer, postoji nesigurnost u vezi s odgovornošću u slučajevima kada se otvoreni kod koji je razvila komercijalna kompanija može prenijeti na nekomercijalne projekte trećih strana i koristiti u distribucijama Linuxa.
Prijedlog zakona uvodi pravnu odgovornost za nepoštivanje sigurnosnih zahtjeva, što je u suprotnosti s društvenom odgovornošću Debiana da distribuira softver u bilo koju svrhu i bez ograničenja. Debian ne prati uključenost koda u komercijalne projekte, zapošljavanje programera i izvore financiranja za razvoj koji se isporučuje u distribuciji, tako da nametanje zahtjeva navedenih u prijedlogu zakona povećava pravne rizike pri korištenju distribucije.
Postoji opasnost da će upstream projekti prestati davati svoj kod zbog straha od potpadanja pod CRA i primjene povezanih kazni. CRA također može otežati dijeljenje otvorenog koda sa zajednicom, zahtijevajući od programera da odvagaju pravne implikacije dostupnosti koda. Osim toga, prijedlog zakona umanjuje atraktivnost otvorenog procesa razvoja, budući da je rad svima vidljiv i transparentan, a kod se može koristiti u procesu razvoja, omogućavajući primjenu zahtjeva CRA-a tokom rada na proizvodu, dok je vlasnički softver razvija iza zatvorenih vrata i postaje predmet zakona nakon konačnog puštanja na slobodu.
Debian programeri pozivaju da se razvoj otvorenog koda u potpunosti ukloni iz CRA i da se zakon primjenjuje samo na finalne proizvode. Predloženo je i da se zahtjevi RAK-a ne odnose na proizvode trgovaca pojedinaca i malih preduzeća, jer neće moći ispuniti sve zahtjeve koje postavlja RAK i biće primorani da zatvore svoje poslovanje.
Saopćenje se također odnosi na upitnu prirodu zahtjeva da se sigurnosna pitanja prijave Evropskoj agenciji za sigurnost mreža i informacija (ENISA) u roku od 24 sata od identifikovanja problema ili prijema informacija o ranjivosti. Akumuliranje informacija o svim ranjivostima koje još nisu otklonjene na jednom mjestu može dovesti do velikih problema za sve korisnike u slučaju curenja informacija, prijenosa informacija obavještajnim agencijama ili kompromitacije ENISA-e.
izvor: opennet.ru