Au fost publicate rezultatele votului general (GR, rezoluție generală) al dezvoltatorilor de proiecte Debian implicați în întreținerea pachetelor și întreținerea infrastructurii, la care textul unei declarații care exprimă poziția proiectului față de proiectul de lege Cyber Resilience Act (CRA) promovat în Uniunea Europeană a fost aprobat. Proiectul de lege introduce cerințe suplimentare pentru producătorii de software, menite să stimuleze menținerea securității, dezvăluirea informațiilor despre incidente și eliminarea promptă a vulnerabilităților de-a lungul ciclului de viață al produsului.
În cazul încălcării cerințelor, se preconizează introducerea de amenzi care pot ajunge la 15 milioane de euro sau 2.5% din cifra de afaceri anuală a companiei. Odată ce proiectul de lege este adoptat, producătorii vor fi obligați să ofere mijloacele de a furniza corecții pentru vulnerabilități, să efectueze evaluări ale riscurilor de securitate înainte de a aduce un produs pe piață, să efectueze teste de securitate a produsului (sunt introduse audituri externe obligatorii pentru sistemele critice), să elimine vulnerabilitățile pe tot parcursul ciclul de viață și comunicați informații despre incidentele de securitate în termen de 24 de ore de la descoperirea problemei.
În ciuda faptului că, judecând după tendințele emergente, proiectul de lege va afecta doar producătorii comerciali de software, comunitatea este îngrijorată de impactul său negativ asupra ecosistemului de dezvoltare a software-ului open source și consideră proiectul de lege ca un factor care limitează avansarea proiectelor open source. și împiedică dezvoltarea software-ului open source ca mișcare internațională. Companiile care dezvoltă produse bazate pe proiecte internaționale open source sau care folosesc biblioteci open source vor fi trase la răspundere pentru problemele de securitate și corecțiile inadecvate ale vulnerabilităților din cod, chiar dacă acel cod este scris de entuziaști din alte țări. Este de așteptat ca apariția unor riscuri suplimentare de afaceri să reducă atractivitatea creării de software bazat pe open source.
În același timp, proiectele independente care includ cod de la producătorii de produse comerciale pot fi, de asemenea, afectate de consecințe legale. De exemplu, există incertitudine cu privire la răspundere în cazurile în care codul sursă deschis dezvoltat de o companie comercială poate fi transferat către proiecte necomerciale de la terți și utilizat în distribuțiile Linux.
Proiectul de lege introduce răspunderea legală pentru nerespectarea cerințelor de securitate, ceea ce este în contradicție cu responsabilitatea socială a Debian de a distribui software în orice scop și fără restricții. Debian nu urmărește implicarea codului în proiecte comerciale, angajarea dezvoltatorilor și sursele de finanțare pentru dezvoltările furnizate în distribuție, astfel încât impunerea cerințelor specificate în proiect de lege crește riscurile legale la utilizarea distribuției.
Există pericolul ca proiectele din amonte să nu mai furnizeze codul lor din cauza temerilor de a intra sub incidența CRA și a aplicării sancțiunilor asociate. De asemenea, CRA ar putea face mai dificilă partajarea codului open source cu comunitatea, solicitând dezvoltatorilor să cântărească implicațiile legale ale punerii acestuia la dispoziție comunității open source. În plus, proiectul de lege reduce atractivitatea procesului de dezvoltare deschis, deoarece munca este vizibilă și transparentă pentru toată lumea, iar codul poate fi utilizat în timpul procesului de dezvoltare, permițând ca cerințele CRA să se aplice în timpul lucrului la produs, în timp ce software-ul proprietar este dezvoltat cu ușile închise și devine supus legii la eliberarea definitivă.
Dezvoltatorii Debian cer ca dezvoltarea open source să fie eliminată în întregime din CRA și ca legea să se aplice numai produselor finale. De asemenea, se propune ca cerințele CRA să nu se aplice produselor comercianților individuali și ale întreprinderilor mici, deoarece aceștia nu vor putea îndeplini toate cerințele impuse de CRA și vor fi obligați să-și închidă afacerea.
Declarația se referă, de asemenea, la natura îndoielnică a cerinței de a raporta problemele de securitate către Agenția Europeană pentru Securitatea Rețelelor și a Informațiilor (ENISA) în termen de 24 de ore de la identificarea unei probleme sau de la primirea informațiilor despre o vulnerabilitate. Acumularea de informații despre toate vulnerabilitățile care nu au fost încă remediate într-un singur loc poate duce la mari probleme pentru toți utilizatorii în cazul unei scurgeri de informații, transfer de informații către agențiile de informații sau compromisuri ale ENISA.
Sursa: opennet.ru