ผลการโหวตทั่วไป (GR, ความละเอียดทั่วไป) ของผู้พัฒนาโครงการ Debian ที่เกี่ยวข้องกับการบำรุงรักษาแพ็คเกจและการบำรุงรักษาโครงสร้างพื้นฐานได้รับการเผยแพร่แล้ว ซึ่งมีข้อความในแถลงการณ์ที่แสดงจุดยืนของโครงการเกี่ยวกับร่างกฎหมาย Cyber Resilience Act (CRA) ได้รับการส่งเสริมในสหภาพยุโรปได้รับการอนุมัติ ร่างกฎหมายดังกล่าวได้แนะนำข้อกำหนดเพิ่มเติมสำหรับผู้ผลิตซอฟต์แวร์ที่มุ่งสร้างแรงจูงใจในการรักษาความปลอดภัย การเปิดเผยข้อมูลเกี่ยวกับเหตุการณ์ต่างๆ และการกำจัดช่องโหว่โดยทันทีตลอดวงจรชีวิตผลิตภัณฑ์
ในกรณีที่มีการละเมิดข้อกำหนด มีการวางแผนที่จะปรับเงินถึง 15 ล้านยูโรหรือ 2.5% ของมูลค่าการซื้อขายประจำปีของบริษัท เมื่อผ่านร่างกฎหมายแล้ว ผู้ผลิตจะต้องจัดเตรียมวิธีการในการส่งมอบแพตช์สำหรับจุดอ่อน ดำเนินการประเมินความเสี่ยงด้านความปลอดภัยก่อนนำผลิตภัณฑ์ออกสู่ตลาด ทำการทดสอบความปลอดภัยของผลิตภัณฑ์ (มีการแนะนำการตรวจสอบภายนอกที่บังคับสำหรับระบบที่สำคัญ) กำจัดช่องโหว่ตลอด วงจรชีวิตและสื่อสารข้อมูลเกี่ยวกับเหตุการณ์ด้านความปลอดภัยภายใน 24 ชั่วโมงหลังจากพบปัญหา
แม้ว่าการพิจารณาจากแนวโน้มที่เกิดขึ้นใหม่ ร่างกฎหมายนี้จะส่งผลกระทบต่อผู้ผลิตซอฟต์แวร์เชิงพาณิชย์เท่านั้น แต่ชุมชนก็ยังกังวลเกี่ยวกับผลกระทบด้านลบต่อระบบนิเวศการพัฒนาซอฟต์แวร์โอเพ่นซอร์ส และมองว่าร่างกฎหมายนี้เป็นปัจจัยที่จำกัดความก้าวหน้าของโครงการโอเพ่นซอร์ส และขัดขวางการพัฒนาซอฟต์แวร์โอเพ่นซอร์สตามความเคลื่อนไหวระดับนานาชาติ บริษัทที่พัฒนาผลิตภัณฑ์ตามโครงการโอเพ่นซอร์สระดับนานาชาติหรือการใช้ไลบรารีโอเพ่นซอร์สจะต้องรับผิดชอบต่อปัญหาด้านความปลอดภัยและการแก้ไขช่องโหว่ในโค้ดที่ไม่เพียงพอ แม้ว่าโค้ดนั้นจะเขียนโดยผู้ที่ชื่นชอบจากประเทศอื่นก็ตาม คาดว่าการเกิดขึ้นของความเสี่ยงทางธุรกิจเพิ่มเติมจะช่วยลดความน่าดึงดูดใจของการสร้างซอฟต์แวร์ที่ใช้โอเพ่นซอร์ส
ในเวลาเดียวกัน โครงการอิสระที่มีรหัสจากผู้ผลิตผลิตภัณฑ์เชิงพาณิชย์อาจได้รับผลกระทบจากผลทางกฎหมายเช่นกัน ตัวอย่างเช่น มีความไม่แน่นอนเกี่ยวกับความรับผิดในกรณีที่โค้ดโอเพ่นซอร์สที่พัฒนาโดยบริษัทเชิงพาณิชย์สามารถถ่ายโอนไปยังโครงการที่ไม่ใช่เชิงพาณิชย์ของบุคคลที่สามและใช้ในการแจกจ่าย Linux
ร่างกฎหมายดังกล่าวระบุถึงความรับผิดทางกฎหมายสำหรับการไม่ปฏิบัติตามข้อกำหนดด้านความปลอดภัย ซึ่งขัดแย้งกับความรับผิดชอบต่อสังคมของ Debian ในการเผยแพร่ซอฟต์แวร์เพื่อวัตถุประสงค์ใดๆ และไม่มีข้อจำกัด Debian ไม่ได้ติดตามการมีส่วนร่วมของโค้ดในโครงการเชิงพาณิชย์ การจ้างงานของนักพัฒนา และแหล่งเงินทุนสำหรับการพัฒนาที่ให้มาในการจัดจำหน่าย ดังนั้นการกำหนดข้อกำหนดที่ระบุไว้ในร่างกฎหมายจะเพิ่มความเสี่ยงทางกฎหมายเมื่อใช้การแจกจ่าย
มีอันตรายที่โครงการต้นน้ำจะหยุดให้รหัสของตนเนื่องจากกลัวว่าจะตกอยู่ภายใต้ CRA และการใช้บทลงโทษที่เกี่ยวข้อง CRA อาจทำให้การแบ่งปันโค้ดโอเพ่นซอร์สกับชุมชนทำได้ยากขึ้น โดยกำหนดให้นักพัฒนาต้องชั่งน้ำหนักผลกระทบทางกฎหมายในการสร้างโค้ดให้พร้อมใช้งาน นอกจากนี้ ร่างกฎหมายดังกล่าวยังช่วยลดความน่าดึงดูดใจของกระบวนการพัฒนาแบบเปิด เนื่องจากทุกคนสามารถมองเห็นงานได้และโปร่งใส และโค้ดดังกล่าวสามารถใช้ในระหว่างกระบวนการพัฒนาได้ ทำให้ข้อกำหนด CRA สามารถนำไปใช้ในขณะที่ทำงานกับผลิตภัณฑ์ ในขณะที่ซอฟต์แวร์ที่เป็นกรรมสิทธิ์นั้น พัฒนาขึ้นหลังประตูปิดและต้องอยู่ภายใต้กฎหมายเมื่อได้รับการปล่อยตัวครั้งสุดท้าย
นักพัฒนา Debian เรียกร้องให้ลบการพัฒนาโอเพ่นซอร์สออกจาก CRA ทั้งหมด และให้กฎหมายมีผลใช้กับผลิตภัณฑ์ขั้นสุดท้ายเท่านั้น มีการเสนอด้วยว่าข้อกำหนดของ CRA ไม่ใช้กับผลิตภัณฑ์ของผู้ค้ารายเดียวและธุรกิจขนาดเล็ก เนื่องจากจะไม่สามารถตอบสนองข้อกำหนดทั้งหมดที่กำหนดโดย CRA และจะถูกบังคับให้ปิดธุรกิจของตน
คำแถลงนี้ยังอ้างถึงลักษณะที่น่าสงสัยของข้อกำหนดในการรายงานปัญหาด้านความปลอดภัยไปยัง European Network and Information Security Agency (ENISA) ภายใน 24 ชั่วโมงหลังจากระบุปัญหาหรือรับข้อมูลเกี่ยวกับช่องโหว่ การรวบรวมข้อมูลเกี่ยวกับช่องโหว่ทั้งหมดที่ยังไม่ได้รับการแก้ไขในที่เดียวอาจทำให้เกิดปัญหาใหญ่สำหรับผู้ใช้ทุกคนในกรณีที่ข้อมูลรั่วไหล การถ่ายโอนข้อมูลไปยังหน่วยงานข่าวกรอง หรือการประนีประนอมของ ENISA
ที่มา: opennet.ru