Hasil sora umum (GR, résolusi umum) ti para pamekar proyék parantos dipedalkeun. Debian, kalibet dina pangropéa pakét sareng dukungan infrastruktur, dimana pernyataan anu nyatakeun posisi proyék ngeunaan Cyber Resilience Act (CRA), anu ayeuna nuju dipromosikeun di Uni Éropa, disatujuan. RUU éta ngenalkeun sarat tambahan pikeun produsén parangkat lunak anu ditujukeun pikeun ngadorong kaamanan, panyingkepan kajadian, sareng remediasi anu gancang tina kerentanan sapanjang siklus hirup produk.
Palanggaran syarat ieu bakal ngakibatkeun denda nepi ka €15 juta atawa 2.5% tina omzet taunan hiji pausahaan. Sakali diadopsi, pabrik bakal diwajibkeun nyadiakeun alat pikeun nganteurkeun patch kerentanan, ngalaksanakeun assessments résiko kaamanan saméméh ngaleupaskeun produk ka pasar, ngalakukeun nguji kaamanan produk (wajib audits éksternal bakal diwanohkeun pikeun sistem kritis), alamat kerentanan sapanjang sakabéh lifecycle, sarta ngalaporkeun insiden kaamanan dina 24 jam tina ngaidentipikasi masalah.
Sanaos tren ayeuna nunjukkeun yén tagihanana ngan ukur mangaruhan pamekar parangkat lunak komersil, masarakat prihatin ngeunaan dampak negatifna kana ékosistem pangembangan open source sareng ningali tagihanana salaku faktor anu ngahalangan kamajuan proyék open source sareng ngahambat pamekaran parangkat lunak gratis salaku gerakan internasional. Perusahaan anu ngembangkeun produk dumasar kana proyék open source internasional atanapi nganggo perpustakaan open source bakal nanggung jawab pikeun masalah kaamanan sareng patch kerentanan anu teu cekap dina kodena, sanaos kode éta ditulis ku peminat ti nagara sanés. Hal ieu dipercaya yén mecenghulna resiko tambahan pikeun usaha bakal ngurangan daya tarik pikeun ngembangkeun software open source.
Dina waktos anu sami, implikasi hukum ogé tiasa mangaruhan proyék mandiri anu ngagabungkeun kode ti pamekar produk komérsial. Salaku conto, aya kateupastian ngeunaan tanggung jawab nalika kode sumber terbuka anu dikembangkeun ku perusahaan komérsial dibagikeun sareng proyék non-komersial pihak katilu sareng dianggo dina distribusi. Linux.
RUU éta ngenalkeun tanggung jawab hukum pikeun kagagalan pikeun minuhan sarat kaamanan, anu bertentangan sareng kawajiban sosial. Debian, nyebarkeun parangkat lunak pikeun tujuan naon waé sareng tanpa larangan. Debian henteu ngalacak kalibetan kode dina proyék komérsial, padamelan pamekar, atanapi sumber pendanaan pikeun pamekaran anu kalebet dina distribusi, janten maksakeun sarat anu ditangtukeun dina RUU ningkatkeun résiko hukum anu aya hubunganana sareng panggunaan distribusi.
Aya résiko yén proyék hulu bakal lirén ngabagi kodeu kusabab kasalempang kana kaayaan CRA sareng hukuman anu aya hubunganana. The CRA ogé bisa ngahesekeun prosés babagi kode jeung komunitas open source, sabab pamekar kudu beuratna implikasi légal poténsi muka kode maranéhanana. Saterusna, tagihanana ngurangan daya tarik pikeun ngembangkeun kabuka, sakumaha karya anu dipigawé dina pintonan pinuh sarta transparan pikeun sakabéh, sarta kode nu bisa dipaké salila ngembangkeun, sahingga pikeun syarat CRA bisa dilarapkeun salila ngembangkeun produk, sedengkeun software proprietary dikembangkeun balik panto katutup sarta ragrag dina hukum ngan sanggeus release final.
pamekar Debian Aranjeunna ngadorong pikeun ngaleungitkeun sagemblengna prosés pamekaran kabuka tina lingkup CRA sareng nerapkeun hukum ngan ukur kana produk ahir. Aranjeunna ogé ngusulkeun henteu nerapkeun sarat CRA kana produk anu dihasilkeun ku pamilik tunggal sareng usaha alit, sabab aranjeunna moal tiasa sasuai sareng sadaya sarat CRA sareng bakal kapaksa nutup usahana.
Pernyataan éta ogé nyatakeun sifat anu dipertanyakeun tina sarat pikeun ngalaporkeun masalah kaamanan ka Badan Jaringan sareng Kaamanan Informasi Éropa (ENISA) dina 24 jam saatos ngaidentipikasi masalah atanapi nampi inpormasi ngeunaan kerentanan. Ngumpulkeun inpormasi ngeunaan sadaya kerentanan anu teu ditambal di hiji tempat tiasa nyababkeun masalah anu penting pikeun sadaya pangguna upami aya bocor data, panyingkepan ka agénsi intelijen, atanapi kompromi ENISA.
sumber: opennet.ru
