Objavljeni so rezultati splošnega glasovanja (GR, general resolution) razvijalcev projekta Debian, ki se ukvarjajo z vzdrževanjem paketov in vzdrževanjem infrastrukture, na katerem je bilo objavljeno besedilo izjave, ki izraža stališče projekta glede zakona Cyber Resilience Act (CRA). promoviran v Evropski uniji, je bil odobren. Predlog zakona uvaja dodatne zahteve za proizvajalce programske opreme, katerih cilj je spodbujanje vzdrževanja varnosti, razkritje informacij o incidentih in takojšnje odpravljanje ranljivosti v celotnem življenjskem ciklu izdelka.
V primeru kršitve zahtev je predvidena uvedba glob, ki lahko dosežejo 15 milijonov evrov ali 2.5% letnega prometa podjetja. Ko bo predlog zakona sprejet, bodo morali proizvajalci zagotoviti sredstva za dostavo popravkov za ranljivosti, izvesti ocene varnostnega tveganja, preden izdelek dajo na trg, izvesti testiranje varnosti izdelka (za kritične sisteme se uvajajo obvezne zunanje revizije), odpraviti ranljivosti v celotnem obsegu. življenjski cikel in sporočanje informacij o varnostnih incidentih v 24 urah po odkritju težave.
Kljub dejstvu, da bo predlog zakona sodeč po nastajajočih trendih vplival le na proizvajalce komercialne programske opreme, je skupnost zaskrbljena zaradi njegovega negativnega vpliva na razvojni ekosistem odprtokodne programske opreme in na predlog zakona gleda kot na dejavnik, ki omejuje napredek odprtokodnih projektov. in ovira razvoj odprtokodne programske opreme kot mednarodnega gibanja. Podjetja, ki razvijajo izdelke na podlagi mednarodnih odprtokodnih projektov ali uporabljajo odprtokodne knjižnice, bodo odgovorna za varnostne težave in neustrezno popravljanje ranljivosti v kodi, tudi če so to kodo napisali navdušenci iz drugih držav. Pričakovati je, da bo pojav dodatnih poslovnih tveganj zmanjšal privlačnost ustvarjanja odprtokodne programske opreme.
Hkrati lahko na neodvisne projekte, ki vključujejo kodo komercialnih proizvajalcev izdelkov, vplivajo tudi pravne posledice. Na primer, obstaja negotovost glede odgovornosti v primerih, ko se odprtokodna koda, ki jo je razvilo komercialno podjetje, lahko prenese v nekomercialne projekte tretjih oseb in uporabi v distribucijah Linuxa.
Predlog zakona uvaja pravno odgovornost za neupoštevanje varnostnih zahtev, kar je v nasprotju z Debianovo družbeno odgovornostjo za distribucijo programske opreme za kakršne koli namene in brez omejitev. Debian ne sledi udeležbi kode v komercialnih projektih, zaposlovanju razvijalcev in virih financiranja razvoja, dobavljenega v distribuciji, zato uvedba zahtev, navedenih v predlogu zakona, povečuje pravna tveganja pri uporabi distribucije.
Obstaja nevarnost, da bodo predhodni projekti prenehali zagotavljati svojo kodo zaradi bojazni, da bodo zajeti pod CRA in uporabo povezanih kazni. CRA lahko tudi oteži skupno rabo odprtokodne kode s skupnostjo, kar od razvijalcev zahteva, da pretehtajo pravne posledice dajanja kode na voljo. Poleg tega predlog zakona zmanjšuje privlačnost odprtega razvojnega procesa, saj je delo vidno in pregledno vsem, kodo pa je mogoče uporabiti med razvojnim procesom, kar omogoča uporabo zahtev CRA med delom na izdelku, medtem ko je lastniška programska oprema razvijal za zaprtimi vrati in po dokončni sprostitvi zanj velja zakon.
Razvijalci Debiana zahtevajo, da se odprtokodni razvoj v celoti odstrani iz CRA in da se zakon uporablja le za končne izdelke. Predlaga se tudi, da zahteve CRA ne veljajo za izdelke samostojnih podjetnikov in malih podjetij, saj ti ne bodo mogli izpolniti vseh zahtev, ki jih nalaga CRA, in bodo prisiljeni zapreti svoje podjetje.
Izjava se nanaša tudi na vprašljivost zahteve po poročanju varnostnih težav Evropski agenciji za varnost omrežij in informacij (ENISA) v 24 urah po odkritju težave ali prejemu informacije o ranljivosti. Kopičenje informacij o vseh ranljivostih, ki še niso odpravljene, na enem mestu lahko povzroči velike težave za vse uporabnike v primeru uhajanja informacij, posredovanja informacij obveščevalnim agencijam ali ogrožanja ENISA.
Vir: opennet.ru