Avaldatud on pakettide hooldamise ja taristu hooldamisega tegelevate Debiani projekti arendajate üldhääletuse (GR, üldresolutsioon) tulemused, millel on projekti seisukohta väljendava avalduse tekst kübervastupidavuse seaduse (CRA) seaduseelnõu kohta. Euroopa Liidus edendatud kiideti heaks. Eelnõuga kehtestatakse tarkvaratootjatele lisanõuded, mille eesmärk on ergutada turvalisuse säilitamist, intsidentide kohta teabe avalikustamist ja haavatavuste kiiret kõrvaldamist kogu toote elutsükli jooksul.
Nõuete rikkumise korral on kavas kehtestada trahvid, mis võivad ulatuda 15 miljoni euroni ehk 2.5%ni ettevõtte aastakäibest. Kui seaduseelnõu vastu võetakse, peavad tootjad pakkuma vahendid haavatavuste paikade tarnimiseks, enne toote turule toomist turberiskide hindamist, toote turvatestide läbiviimist (oluliste süsteemide jaoks kehtestatakse kohustuslikud välisauditid), turvaaukude kõrvaldamiseks kogu ulatuses. elutsükkel ja edastada teavet turvaintsidentide kohta 24 tunni jooksul pärast probleemi avastamist.
Hoolimata asjaolust, et esilekerkivate suundumuste põhjal otsustades puudutab eelnõu ainult kommertstarkvara tootjaid, tunneb kogukond muret selle negatiivse mõju pärast avatud lähtekoodiga tarkvaraarenduse ökosüsteemile ja näeb seaduseelnõu avatud lähtekoodiga projektide edenemist piirava tegurina. ja takistab avatud lähtekoodiga tarkvara kui rahvusvahelise liikumise arengut. Ettevõtted, kes arendavad tooteid, mis põhinevad rahvusvahelistel avatud lähtekoodiga projektidel või kasutavad avatud lähtekoodiga raamatukogusid, vastutavad turvaprobleemide ja koodi haavatavuste ebapiisava lappimise eest, isegi kui selle koodi on kirjutanud teiste riikide entusiastid. Eeldatavasti vähendab täiendavate äririskide tekkimine avatud lähtekoodil põhineva tarkvara loomise atraktiivsust.
Samal ajal võivad juriidilised tagajärjed mõjutada ka sõltumatuid projekte, mis sisaldavad kommertstoodete tootjate koodi. Näiteks valitseb vastutuse ebakindlus juhtudel, kui äriettevõtte välja töötatud avatud lähtekoodi saab üle kanda kolmandate osapoolte mitteärilistesse projektidesse ja kasutada seda Linuxi distributsioonides.
Eelnõuga kehtestatakse juriidiline vastutus turvanõuete mittejärgimise eest, mis on vastuolus Debiani sotsiaalse vastutusega levitada tarkvara mis tahes eesmärgil ja piiranguteta. Debian ei jälgi koodi kaasamist kommertsprojektidesse, arendajate palkamist ja distributsioonis tarnitavate arenduste rahastamisallikaid, seega suurendab eelnõus toodud nõuete kehtestamine distributsiooni kasutamisel juriidilisi riske.
On oht, et varasemad projektid lõpetavad koodide pakkumise, kuna kardetakse sattuda reitinguagentuuri alla ja kohaldada sellega seotud karistusi. Samuti võib reitinguagentuur muuta avatud lähtekoodi jagamise kogukonnaga keerulisemaks, mistõttu peavad arendajad kaaluma koodi kättesaadavaks tegemise õiguslikke tagajärgi. Lisaks vähendab eelnõu avatud arendusprotsessi atraktiivsust, kuna töö on kõigile nähtav ja läbipaistev ning koodi saab arendusprotsessi käigus kasutada, võimaldades toote kallal töötamise ajal kehtida CRA nõuded, samas kui patenteeritud tarkvara on arendatud kinniste uste taga ja lõplikul vabastamisel allub seadusele.
Debiani arendajad nõuavad avatud lähtekoodiga arenduste täielikku eemaldamist reitinguagentuurist ja seaduste kohaldamist ainult lõpptoodetele. Samuti tehakse ettepanek, et reitinguagentuuri nõuded ei kehtiks üksikettevõtjate ja väikeettevõtete toodetele, kuna nad ei suuda täita kõiki reitinguagentuuri kehtestatud nõudeid ja on sunnitud oma äritegevuse lõpetama.
Avalduses viidatakse ka 24 tunni jooksul pärast probleemi tuvastamist või haavatavuse kohta teabe saamist turvaprobleemidest teavitamise nõude küsitavus. Teabe kuhjumine kõigi seni parandamata turvaaukude kohta ühte kohta võib tuua kaasa suuri probleeme kõikidele kasutajatele teabelekke, teabe edastamise korral luureagentuuridele või ENISA ohustamise korral.
Allikas: opennet.ru