Пакеттерди сактоо жана инфраструктураны колдоо менен алектенген Debian долбоорун иштеп чыгуучулардын жалпы добуш берүүсүнүн жыйынтыктары (GR, жалпы резолюция) жарыяланды, анда Кибер туруктуулук Актынын (CRA) мыйзам долбооруна карата долбоордун позициясын билдирген билдирүүнүн тексти жарыяланды. Европа Биримдигинде жылдырылды. Мыйзам долбоору программалык камсыздоону өндүрүүчүлөргө коопсуздукту камсыздоону стимулдаштырууга, инциденттер жөнүндө маалыматты ачыкка чыгарууга жана продукциянын бүткүл жашоо циклинде алсыздыктарды тез арада жоюуга багытталган кошумча талаптарды киргизет.
Талаптар бузулган учурда 15 миллион еврого же компаниянын жылдык жүгүртүүсүнүн 2.5 пайызына чейин айып пул салуу пландаштырылууда. Мыйзам долбоору кабыл алынгандан кийин, өндүрүүчүлөрдөн аялуу жерлерге тактарды жеткирүү үчүн каражаттар менен камсыз кылуу, продукцияны рынокко чыгаруудан мурун коопсуздук тобокелдигине баа берүү, продукциянын коопсуздугун тестирлөө (маанилүү системалар үчүн милдеттүү тышкы аудиттер киргизилүүдө), бүтүндөй аялуу жерлерди жоюу талап кылынат. жашоо циклин жана коопсуздук инциденттери тууралуу маалыматты көйгөй табылгандан кийин 24 сааттын ичинде билдириңиз.
Жаңы пайда болгон тенденцияларга караганда, мыйзам долбоору коммерциялык программалык камсыздоону өндүрүүчүлөргө гана таасир эте турганына карабастан, коомчулук анын ачык булактуу программалык камсыздоону иштеп чыгуу экосистемасына терс таасирин тийгизет деп кооптонууда жана мыйзам долбоорун ачык булактуу долбоорлордун алга жылышын чектеген фактор катары карайт. жана эл аралык кыймыл катары ачык программалык камсыздоону өнүктүрүүгө тоскоолдук кылат. Эл аралык ачык булак долбоорлорунун негизинде өнүмдөрдү иштеп чыгуучу же ачык булактуу китепканаларды колдонгон компаниялар, кодду башка өлкөлөрдүн энтузиасттары жазса дагы, коопсуздук көйгөйлөрү жана коддогу алсыздыктардын адекваттуу патчировкасы үчүн жооп беришет. Кошумча бизнес тобокелдиктеринин пайда болушу ачык булактын негизинде программалык камсыздоону түзүүнүн жагымдуулугун төмөндөтөт деп күтүлүүдө.
Ошол эле учурда, соода продуктуларын өндүрүүчүлөрдүн кодун камтыган көз карандысыз долбоорлор да юридикалык кесепеттерге дуушар болушу мүмкүн. Мисалы, коммерциялык компания тарабынан иштелип чыккан ачык булак коду үчүнчү тараптын коммерциялык эмес долбоорлоруна өткөрүлүп берилиши жана Linux дистрибьютерлеринде колдонулушу мүмкүн болгон учурларда жоопкерчилик тууралуу белгисиздик бар.
Мыйзам долбоору коопсуздук талаптарын аткарбагандыгы үчүн юридикалык жоопкерчиликти киргизет, бул Debian компаниясынын программалык камсыздоону каалаган максатта жана чектөөсүз таратуу боюнча социалдык жоопкерчилигине карама-каршы келет. Debian коддун коммерциялык долбоорлорго катышуусуна, иштеп чыгуучулардын жумушуна жана бөлүштүрүүдө берилген иштеп чыгууларды каржылоо булактарына көз салбайт, ошондуктан мыйзам долбоорунда көрсөтүлгөн талаптарды коюу бөлүштүрүүнү колдонууда юридикалык тобокелдиктерди күчөтөт.
Жогорку агымдагы долбоорлор КРАнын карамагына түшүп калуу коркунучунан жана ага байланыштуу жазаларды колдонуудан улам өз коддорун берүүнү токтотуп коюу коркунучу бар. CRA ошондой эле ачык булактуу кодду коомчулук менен бөлүшүүнү кыйындатып, иштеп чыгуучулардан аны ачык булак коомчулугуна жеткиликтүү кылуунун укуктук кесепеттерин таразалап көрүүнү талап кылышы мүмкүн. Мындан тышкары, мыйзам долбоору ачык иштеп чыгуу процессинин жагымдуулугун төмөндөтөт, анткени иш баарына көрүнүп турат жана ачык-айкын болот жана код иштеп чыгуу процессинде колдонулушу мүмкүн, бул продуктта иштөөдө CRA талаптарын колдонууга мүмкүндүк берет, ал эми менчик программалык камсыздоо жабык эшик артында иштелип чыккан жана акыркы бошотулгандан кийин мыйзамга баш ийет.
Debian иштеп чыгуучулары ачык булакты иштеп чыгууну CRAдан толугу менен алып салууга жана мыйзам акыркы өнүмгө гана колдонулушун талап кылышууда. Ошондой эле КРАнын талаптары жеке ишкерлердин жана чакан ишканалардын продукцияларына колдонулбашы сунушталууда, анткени алар КРАК тарабынан коюлган бардык талаптарга жооп бере албайт жана бизнесин жабууга аргасыз болушат.
Билдирүүдө ошондой эле көйгөй аныкталгандан же алсыздык жөнүндө маалымат алынгандан кийин 24 сааттын ичинде коопсуздук маселелери боюнча Европа Тармактар жана Маалыматтык Коопсуздук Агенттигине (ENISA) кабарлоо талабынын күмөндүү мүнөзүнө шилтеме жасалат. Бир жерде тактала элек бардык кемчиликтер тууралуу маалыматты топтоо маалымат агып кеткенде, маалымат чалгындоо органдарына өткөрүлүп берилгенде же ENISA компромисси болгондо бардык колдонуучулар үчүн чоң көйгөйлөргө алып келиши мүмкүн.
Source: opennet.ru