Mae canlyniadau pleidlais gyffredinol (GR, penderfyniad cyffredinol) datblygwyr prosiect Debian sy'n ymwneud â chynnal pecynnau a chynnal seilwaith wedi'u cyhoeddi, lle mae testun datganiad yn mynegi safbwynt y prosiect ynghylch bil y Ddeddf Cydnerthedd Seiber (CRA). ei hyrwyddo yn yr Undeb Ewropeaidd ei gymeradwyo. Mae'r bil yn cyflwyno gofynion ychwanegol ar gyfer gweithgynhyrchwyr meddalwedd gyda'r nod o gymell cynnal diogelwch, datgelu gwybodaeth am ddigwyddiadau, a dileu gwendidau yn brydlon trwy gydol cylch oes y cynnyrch.
Mewn achos o dorri'r gofynion, bwriedir cyflwyno dirwyon a all gyrraedd 15 miliwn ewro neu 2.5% o drosiant blynyddol y cwmni. Unwaith y bydd y bil wedi'i basio, bydd yn ofynnol i weithgynhyrchwyr ddarparu'r modd i ddosbarthu clytiau ar gyfer gwendidau, cynnal asesiadau risg diogelwch cyn dod â chynnyrch i'r farchnad, cynnal profion diogelwch cynnyrch (mae archwiliadau allanol gorfodol yn cael eu cyflwyno ar gyfer systemau critigol), dileu gwendidau drwy gydol y broses. y cylch bywyd, a chyfathrebu gwybodaeth am ddigwyddiadau diogelwch o fewn 24 awr ar ôl darganfod y broblem.
Er gwaethaf y ffaith, o ystyried y tueddiadau sy'n dod i'r amlwg, y bydd y bil yn effeithio ar gynhyrchwyr meddalwedd masnachol yn unig, mae'r gymuned yn poeni am ei effaith negyddol ar yr ecosystem datblygu meddalwedd ffynhonnell agored ac yn ystyried y bil fel ffactor sy'n cyfyngu ar ddatblygiad prosiectau ffynhonnell agored. ac yn rhwystro datblygiad meddalwedd ffynhonnell agored fel mudiad rhyngwladol. Bydd cwmnïau sy'n datblygu cynhyrchion sy'n seiliedig ar brosiectau ffynhonnell agored rhyngwladol neu sy'n defnyddio llyfrgelloedd ffynhonnell agored yn atebol am broblemau diogelwch a chlytio annigonol o wendidau yn y cod, hyd yn oed os yw'r cod hwnnw wedi'i ysgrifennu gan selogion o wledydd eraill. Disgwylir y bydd dyfodiad risgiau busnes ychwanegol yn lleihau atyniad creu meddalwedd yn seiliedig ar ffynhonnell agored.
Ar yr un pryd, gall prosiectau annibynnol sy'n cynnwys cod gan weithgynhyrchwyr cynnyrch masnachol hefyd gael eu heffeithio gan ganlyniadau cyfreithiol. Er enghraifft, mae ansicrwydd ynghylch atebolrwydd mewn achosion lle gellir trosglwyddo cod ffynhonnell agored a ddatblygwyd gan gwmni masnachol i brosiectau anfasnachol trydydd parti a'i ddefnyddio mewn dosbarthiadau Linux.
Mae'r bil yn cyflwyno atebolrwydd cyfreithiol am beidio â chydymffurfio â gofynion diogelwch, sy'n groes i gyfrifoldeb cymdeithasol Debian i ddosbarthu meddalwedd at unrhyw ddiben a heb gyfyngiadau. Nid yw Debian yn olrhain cyfranogiad cod mewn prosiectau masnachol, cyflogi datblygwyr a ffynonellau cyllid ar gyfer datblygiadau a gyflenwir yn y dosbarthiad, felly mae gosod y gofynion a nodir yn y bil yn cynyddu risgiau cyfreithiol wrth ddefnyddio'r dosbarthiad.
Mae perygl y bydd prosiectau i fyny'r afon yn rhoi'r gorau i ddarparu eu cod oherwydd ofnau o ddod o dan y CRA a chymhwyso cosbau cysylltiedig. Gall y CRA hefyd ei gwneud yn anoddach rhannu cod ffynhonnell agored gyda'r gymuned, gan ei gwneud yn ofynnol i ddatblygwyr bwyso a mesur goblygiadau cyfreithiol sicrhau ei fod ar gael i'r gymuned ffynhonnell agored. Yn ogystal, mae'r bil yn lleihau atyniad y broses datblygu agored, gan fod y gwaith yn weladwy ac yn dryloyw i bawb, a gellir defnyddio'r cod yn ystod y broses ddatblygu, gan ganiatáu i ofynion CRA fod yn berthnasol wrth weithio ar y cynnyrch, tra bod meddalwedd perchnogol yn datblygu y tu ôl i ddrysau caeedig a dod yn ddarostyngedig i'r gyfraith ar ôl rhyddhau'n derfynol.
Mae datblygwyr Debian yn galw am ddileu datblygiad ffynhonnell agored yn gyfan gwbl o'r CRA ac i'r gyfraith fod yn berthnasol i gynhyrchion terfynol yn unig. Cynigir hefyd nad yw gofynion y CRA yn berthnasol i gynnyrch masnachwyr unigol a busnesau bach, gan na fyddant yn gallu bodloni’r holl ofynion a osodir gan y CRA ac y cânt eu gorfodi i gau eu busnes.
Mae’r datganiad hefyd yn cyfeirio at natur amheus y gofyniad i adrodd am faterion diogelwch i’r Asiantaeth Diogelwch Rhwydwaith a Gwybodaeth Ewropeaidd (ENISA) o fewn 24 awr i ganfod problem neu dderbyn gwybodaeth am fregusrwydd. Gall cronni gwybodaeth am yr holl wendidau nad ydynt wedi’u datrys eto mewn un lle arwain at broblemau mawr i bob defnyddiwr pe bai gwybodaeth yn gollwng, trosglwyddo gwybodaeth i asiantaethau cudd-wybodaeth, neu beryglu ENISA.
Ffynhonnell: opennet.ru