De resultaten van de algemene stemming (GR, algemene resolutie) van de Debian-projectontwikkelaars die betrokken zijn bij het onderhouden van pakketten en het onderhouden van infrastructuur zijn gepubliceerd, waarop de tekst van een verklaring is gepubliceerd waarin het standpunt van het project wordt uitgedrukt met betrekking tot het wetsvoorstel Cyber Resilience Act (CRA). gepromoot in de Europese Unie werd goedgekeurd. Het wetsvoorstel introduceert aanvullende eisen voor softwarefabrikanten die gericht zijn op het stimuleren van het behoud van de beveiliging, het vrijgeven van informatie over incidenten en het snel elimineren van kwetsbaarheden gedurende de gehele levenscyclus van het product.
Bij overtreding van de eisen is het de bedoeling om boetes in te voeren die kunnen oplopen tot 15 miljoen euro of 2.5% van de jaaromzet van het bedrijf. Zodra het wetsvoorstel is aangenomen, zullen fabrikanten moeten voorzien in de middelen om patches voor kwetsbaarheden te leveren, veiligheidsrisicobeoordelingen uit te voeren voordat een product op de markt wordt gebracht, productveiligheidstests uit te voeren (verplichte externe audits worden geïntroduceerd voor kritieke systemen) en kwetsbaarheden overal te elimineren. de levenscyclus en communiceer informatie over beveiligingsincidenten binnen 24 uur nadat het probleem is ontdekt.
Ondanks het feit dat het wetsvoorstel, afgaande op de opkomende trends, alleen commerciële softwareproducenten zal treffen, maakt de gemeenschap zich zorgen over de negatieve impact ervan op het ecosysteem voor de ontwikkeling van open source-software en beschouwt het wetsvoorstel als een factor die de voortgang van open source-projecten belemmert. en belemmert de ontwikkeling van open source software als internationale beweging. Bedrijven die producten ontwikkelen op basis van internationale open source-projecten of die open source-bibliotheken gebruiken, zullen verantwoordelijk worden gehouden voor beveiligingsproblemen en het onvoldoende patchen van kwetsbaarheden in de code, zelfs als die code is geschreven door enthousiastelingen uit andere landen. Verwacht wordt dat de opkomst van extra bedrijfsrisico's de aantrekkelijkheid van het creëren van software op basis van open source zal verminderen.
Tegelijkertijd kunnen onafhankelijke projecten die code van commerciële productfabrikanten bevatten ook met juridische gevolgen te maken krijgen. Er bestaat bijvoorbeeld onzekerheid over de aansprakelijkheid in gevallen waarin open source-code die door een commercieel bedrijf is ontwikkeld, kan worden overgedragen aan niet-commerciële projecten van derden en kan worden gebruikt in Linux-distributies.
Het wetsvoorstel introduceert wettelijke aansprakelijkheid voor het niet naleven van beveiligingsvereisten, wat in strijd is met de sociale verantwoordelijkheid van Debian om software voor welk doel dan ook en zonder beperkingen te verspreiden. Debian houdt geen toezicht op de betrokkenheid van code bij commerciële projecten, de tewerkstelling van ontwikkelaars en de financieringsbronnen voor ontwikkelingen die in de distributie worden aangeboden, dus het opleggen van de eisen die in het wetsvoorstel worden gespecificeerd verhoogt de juridische risico's bij het gebruik van de distributie.
Het gevaar bestaat dat upstream-projecten zullen stoppen met het verstrekken van hun code vanwege de angst om onder de CRA te vallen en de toepassing van bijbehorende straffen. De CRA kan het ook moeilijker maken om open source-code met de gemeenschap te delen, waardoor ontwikkelaars de juridische implicaties van het beschikbaar stellen van code moeten afwegen. Bovendien vermindert het wetsvoorstel de aantrekkelijkheid van het open ontwikkelingsproces, omdat het werk voor iedereen zichtbaar en transparant is en de code tijdens het ontwikkelingsproces kan worden gebruikt, waardoor CRA-vereisten kunnen worden toegepast tijdens het werken aan het product, terwijl propriëtaire software wordt gebruikt. ontwikkeld achter gesloten deuren en wordt bij definitieve vrijgave onderworpen aan de wet.
Debian-ontwikkelaars roepen op om open source-ontwikkeling volledig uit de CRA te verwijderen en om de wet alleen van toepassing te laten zijn op eindproducten. Ook wordt voorgesteld om de CRA-eisen niet van toepassing te laten zijn op de producten van eenmanszaken en kleine bedrijven, omdat zij niet aan alle door de CRA opgelegde eisen zullen kunnen voldoen en gedwongen zullen worden hun bedrijf te sluiten.
De verklaring verwijst ook naar de twijfelachtige aard van de vereiste om beveiligingsproblemen binnen 24 uur na het identificeren van een probleem of het ontvangen van informatie over een kwetsbaarheid te melden aan het Europees Agentschap voor Netwerk- en Informatiebeveiliging (ENISA). Het verzamelen van informatie over alle kwetsbaarheden die nog niet zijn opgelost op één plek kan voor alle gebruikers tot grote problemen leiden in het geval van een informatielek, overdracht van informatie aan inlichtingendiensten of compromittering van ENISA.
Bron: opennet.ru