Debian-Entwickler veröffentlichen Erklärung zum Cyber ​​Resilience Act

Опубликованы результаты общего голосования (GR, general resolution) разработчиков проекта Debian, участвующих в сопровождении пакетов и поддержании инфраструктуры, на котором был утверждён текст заявления с выражением позиции проекта в отношении продвигаемого в Евросоюзе законопроекта Cyber Resilience Act (CRA). Законопроект вводит дополнительные требования к производителям программного обеспечения, нацеленные на стимулирование поддержания безопасности, раскрытие сведений об инцидентах и оперативное устранение уязвимостей на протяжении жизненного цикла продукта.

В случае нарушения требований планируется ввести штрафы, которые могут достигать 15 млн евро или 2.5% от годового оборота компании. После принятия законопроекта производители будут обязаны предоставлять средства для доставки исправлений уязвимостей, проводить оценку связанных с безопасностью рисков перед выводом продукта на рынок, выполнять тестирование безопасности продукта (для критических важных систем вводится обязательный внешний аудит), устранять уязвимости на протяжении всего жизненного цикла, передавать информацию об инцидентах с безопасностью в течение 24 часов после обнаружения проблемы.

Несмотря на то, что, судя по наметившимся тенденциям, законопроект будет затрагивать только производителей коммерческого ПО, сообщество обеспокоено его негативным влиянием на экосистему разработки открытого ПО и рассматривает законопроект как фактор, сдерживающий продвижение открытых проектов и препятствующий развитию СПО как международного движения. Компании, развивающие продукты на базе международных открытых проектов или использующие открытые библиотеки, должны будут нести ответственность за проблемы с безопасностью и ненадлежащее исправление уязвимостей в коде, даже если этот код написан энтузиастами из других стран. Предполагается, что появление дополнительных рисков для бизнеса снизит привлекательность создания ПО на базе открытого кода.

В то же время, юридические последствия могут затронуть и независимые проекты, включающие код от производителей коммерческих продуктов. Например, возникает неопределённость в плане несения ответственности в случаях, когда разработанный коммерческой компанией открытый код может быть передан в сторонние некоммерческие проекты и использоваться в дистрибутивах Linux.

Законопроект вводит юридическую ответственность за несоблюдение требований безопасности, что расходится с социальными обязательствами Debian, распространять ПО для любых целей и без ограничений. Debian не отслеживает причастность кода к коммерческим проектам, трудоустройство разработчиков и источники финансирования разработок, поставляемых в дистрибутиве, поэтому навязывание указанных в законопроекте требований повышает юридические риски при использовании дистрибутива.

Существует опасность, что upstream-проекты перестанут предоставлять свой код из-за опасений попасть под действие CRA и применение связанных с ним штрафных санкций. CRA также может привести к усложнению процессов передачи сообществу открытого кода — чтобы открыть код разработчику придётся оценивать возможные юридические последствия. Кроме того, законопроект снижает привлекательность открытого процесса разработки, так как работа ведётся на виду и прозрачно для всех, а код можно использовать в процессе разработки, что позволяет применить требования CRA во время работы над продуктом, в то время как проприетарное ПО разрабатывается за закрытыми дверями и подпадает под действие закона после финального выпуска.

Разработчики Debian призывают полностью вывести открытый процесс разработки из области действия CRA и применять закон только к окончательным продуктам. Также предлагается не применять требования CRA к продуктам индивидуальных предпринимателей и малых предприятий, так как им не по силам выполнить все требования, предъявляемые CRA, и они будут вынуждены свернуть свой бизнес.

В заявлении также упомянут сомнительный характер требования по передаче в Европейское агентство по безопасности сетей и информационной безопасности (ENISA) сведений о проблемах безопасности в течение 24 часов после выявления проблемы или получения информации об уязвимости. Накапливание сведение о всех ещё не исправленных уязвимостях в одном месте может привести к большим проблемам для всех пользователей в случае утечки информации, передачи сведений спецслужбам или компрометации ENISA.

Source: opennet.ru