Publicēti pakešu uzturēšanā un infrastruktūras uzturēšanā iesaistīto Debian projekta izstrādātāju vispārējā balsojuma (GR, vispārīgā rezolūcija) rezultāti, kurā iekļauts paziņojuma teksts, kurā pausta projekta nostāja saistībā ar Kibernoturības likuma (CRA) likumprojektu. tika apstiprināts Eiropas Savienībā. Likumprojekts ievieš papildu prasības programmatūras ražotājiem, kuru mērķis ir stimulēt drošības uzturēšanu, informācijas atklāšanu par incidentiem un ātru ievainojamību novēršanu visā produkta dzīves ciklā.
Prasību pārkāpšanas gadījumā paredzēts ieviest naudas sodu, kas var sasniegt 15 miljonus eiro jeb 2.5% no uzņēmuma gada apgrozījuma. Kad likumprojekts tiks pieņemts, ražotājiem būs jānodrošina līdzekļi, lai nodrošinātu ievainojamību ielāpus, veikt drošības riska novērtējumus pirms produkta laišanas tirgū, veikt produktu drošības testēšanu (tiek ieviesti obligāti ārējie auditi kritiskajām sistēmām), novērst ievainojamības visā garumā. dzīves ciklu un paziņojiet informāciju par drošības incidentiem 24 stundu laikā pēc problēmas atklāšanas.
Neskatoties uz to, ka, spriežot pēc jaunajām tendencēm, likumprojekts skars tikai komerciālās programmatūras ražotājus, sabiedrība ir nobažījusies par tā negatīvo ietekmi uz atvērtā pirmkoda programmatūras izstrādes ekosistēmu un uzskata likumprojektu par faktoru, kas ierobežo atvērtā pirmkoda projektu virzību. un kavē atvērtā pirmkoda programmatūras kā starptautiskas kustības attīstību. Uzņēmumi, kas izstrādā produktus, pamatojoties uz starptautiskiem atvērtā pirmkoda projektiem vai izmanto atvērtā pirmkoda bibliotēkas, tiks saukti pie atbildības par drošības problēmām un nepietiekamu koda ievainojamību ielāpojumu, pat ja šo kodu ir rakstījuši entuziasti no citām valstīm. Paredzams, ka papildu biznesa risku parādīšanās mazinās uz atvērtā pirmkoda bāzes balstītas programmatūras izveides pievilcību.
Tajā pašā laikā juridiskas sekas var ietekmēt arī neatkarīgus projektus, kas ietver komerciālo produktu ražotāju kodu. Piemēram, pastāv neskaidrība par atbildību gadījumos, kad komercuzņēmuma izstrādātais atvērtā pirmkoda kods var tikt nodots trešo pušu nekomerciāliem projektiem un izmantots Linux distribūcijās.
Likumprojekts ievieš juridisku atbildību par drošības prasību neievērošanu, kas ir pretrunā ar Debian sociālo atbildību izplatīt programmatūru jebkādiem mērķiem un bez ierobežojumiem. Debian neizseko koda iesaistei komerciālos projektos, izstrādātāju nodarbināšanai un finansējuma avotiem izplatīšanai piegādātajām izstrādēm, tāpēc likumprojektā noteikto prasību noteikšana palielina juridiskos riskus, izmantojot distribūciju.
Pastāv risks, ka augšupējie projekti pārtrauks nodrošināt savu kodu, jo baidās, ka tie tiks pakļauti kredītreitingu aģentūrai un tiks piemēroti ar to saistītie sodi. CRA var arī apgrūtināt atvērtā pirmkoda kopīgošanu ar sabiedrību, liekot izstrādātājiem izvērtēt koda pieejamības juridiskās sekas. Turklāt likumprojekts samazina atvērtā izstrādes procesa pievilcību, jo darbs ir redzams un pārskatāms ikvienam, un kodu var izmantot izstrādes procesā, ļaujot CRA prasībām piemērot, strādājot pie produkta, savukārt patentēta programmatūra ir izstrādāta aiz slēgtām durvīm un kļūst pakļauta likumam pēc galīgās atbrīvošanas.
Debian izstrādātāji aicina pilnībā izņemt atvērtā pirmkoda izstrādi no CRA un likumu attiekties tikai uz galaproduktiem. Tāpat tiek piedāvāts KRA prasības neattiekties uz individuālo komersantu un mazo uzņēmumu produktiem, jo tie nespēs izpildīt visas kredītreitingu aģentūras noteiktās prasības un būs spiesti slēgt savu biznesu.
Paziņojumā arī norādīts uz apšaubāmo prasības būtību par drošības problēmām ziņot Eiropas Tīklu un informācijas drošības aģentūrai (ENISA) 24 stundu laikā pēc problēmas identificēšanas vai informācijas par ievainojamību saņemšanas. Informācijas uzkrāšana par visām vēl nenovērstajām ievainojamībām vienuviet var radīt lielas problēmas visiem lietotājiem informācijas noplūdes, informācijas nodošanas izlūkošanas aģentūrām vai ENISA kompromitēšanas gadījumā.
Avots: opennet.ru