Paketlarni saqlash va infratuzilmani saqlash bilan shug'ullanadigan Debian loyihasini ishlab chiquvchilarning umumiy ovoz berish natijalari (GR, umumiy rezolyutsiya) e'lon qilindi, unda loyihaning Cyber Resilience Act (CRA) qonun loyihasiga nisbatan pozitsiyasini ifodalovchi bayonot matni e'lon qilindi. Yevropa Ittifoqida ko'tarilganligi ma'qullandi. Qonun loyihasida dasturiy ta’minot ishlab chiqaruvchilari uchun xavfsizlikni ta’minlashni rag‘batlantirish, hodisalar to‘g‘risidagi ma’lumotlarni oshkor qilish va mahsulotning butun hayoti davomida zaifliklarni tezda bartaraf etishga qaratilgan qo‘shimcha talablar kiritiladi.
Talablar buzilgan taqdirda, 15 million yevro yoki kompaniya yillik aylanmasining 2.5 foiziga etishi mumkin bo'lgan jarimalar joriy etilishi rejalashtirilgan. Qonun loyihasi qabul qilingandan so'ng, ishlab chiqaruvchilar zaifliklarni aniqlash uchun tuzatish vositalarini taqdim etishlari, mahsulotni bozorga chiqarishdan oldin xavfsizlik xavfini baholashlari, mahsulot xavfsizligi sinovlarini o'tkazishlari (muhim tizimlar uchun majburiy tashqi auditlar joriy etilmoqda), zaifliklarni bartaraf etishlari kerak. hayot aylanishi va muammo aniqlangandan keyin 24 soat ichida xavfsizlik hodisalari haqida ma'lumot berish.
Rivojlanayotgan tendentsiyalarga ko'ra, qonun loyihasi faqat tijorat dasturiy ta'minot ishlab chiqaruvchilariga ta'sir qilishiga qaramay, jamiyat uning ochiq kodli dasturiy ta'minotni ishlab chiqish ekotizimiga salbiy ta'siridan xavotirda va qonun loyihasini ochiq kodli loyihalarni rivojlantirishni cheklovchi omil sifatida ko'radi. va xalqaro harakat sifatida ochiq kodli dasturiy ta'minotning rivojlanishiga to'sqinlik qiladi. Xalqaro ochiq kodli loyihalar asosida mahsulotlarni ishlab chiquvchi yoki ochiq kodli kutubxonalardan foydalanadigan kompaniyalar xavfsizlik muammolari va koddagi zaifliklarni noto'g'ri tuzatish uchun javobgar bo'ladilar, hatto bu kod boshqa mamlakatlardan kelgan ishqibozlar tomonidan yozilgan bo'lsa ham. Qo'shimcha biznes xatarlarining paydo bo'lishi ochiq manbalar asosida dasturiy ta'minot yaratish jozibadorligini pasaytiradi, deb kutilmoqda.
Shu bilan birga, tijorat mahsulotlarini ishlab chiqaruvchilarning kodlarini o'z ichiga olgan mustaqil loyihalar ham huquqiy oqibatlarga ta'sir qilishi mumkin. Misol uchun, tijorat kompaniyasi tomonidan ishlab chiqilgan ochiq kodli kod uchinchi tomonning notijorat loyihalariga o'tkazilishi va Linux distributivlarida ishlatilishi mumkin bo'lgan hollarda javobgarlik haqida noaniqlik mavjud.
Qonun loyihasi xavfsizlik talablariga rioya qilmaslik uchun yuridik javobgarlikni joriy qiladi, bu Debianning dasturiy ta’minotni istalgan maqsadda va cheklovlarsiz tarqatish bo‘yicha ijtimoiy mas’uliyatiga zid keladi. Debian kodning tijorat loyihalarida ishtirok etishini, ishlab chiquvchilarni ish bilan ta'minlashni va tarqatishda taqdim etilgan ishlanmalarni moliyalashtirish manbalarini kuzatmaydi, shuning uchun qonun loyihasida ko'rsatilgan talablarni qo'yish tarqatishdan foydalanishda huquqiy xavflarni oshiradi.
Yuqori oqim loyihalari CRA ostida qolish qo'rquvi va tegishli jazolarni qo'llash tufayli o'z kodlarini taqdim etishni to'xtatishi xavfi mavjud. CRA, shuningdek, ochiq manba kodini hamjamiyat bilan baham ko'rishni qiyinlashtirishi mumkin, bu esa ishlab chiquvchilardan kodni mavjud qilishning huquqiy oqibatlarini tortishni talab qiladi. Bundan tashqari, qonun loyihasi ochiq ishlab chiqish jarayonining jozibadorligini pasaytiradi, chunki ish hamma uchun ko'rinadigan va shaffofdir va kod ishlab chiqish jarayonida ishlatilishi mumkin, bu esa mahsulot ustida ishlayotganda CRA talablarini qo'llash imkonini beradi, xususiy dasturiy ta'minot esa yopiq eshiklar ortida ishlab chiqilgan va yakuniy chiqarilgandan keyin qonunga bo'ysunadi.
Debian ishlab chiquvchilari ochiq manbalarni ishlab chiqishni CRAdan butunlay olib tashlashni va qonun faqat yakuniy mahsulotlarga nisbatan qo'llanilishini talab qilmoqda. Shuningdek, MQT talablari yakka tartibdagi tadbirkorlar va kichik tadbirkorlik sub’yektlarining mahsulotlariga taalluqli bo‘lmasligi taklif qilinmoqda, chunki ular DIQ tomonidan qo‘yilgan barcha talablarga javob bera olmaydi va o‘z biznesini yopishga majbur bo‘ladi.
Bayonotda, shuningdek, xavfsizlik muammolari haqida Yevropa Tarmoq va Axborot Xavfsizlik Agentligiga (ENISA) muammo aniqlangandan keyin yoki zaiflik haqida ma’lumot olingandan keyin 24 soat ichida xabar berish talabining shubhali xususiyati ham nazarda tutilgan. Hali tuzatilmagan barcha zaifliklar haqidagi ma'lumotlarni bir joyda to'plash ma'lumotlarning sizib chiqishi, ma'lumotlarning razvedka idoralariga uzatilishi yoki ENISA ning murosaga kelishi holatlarida barcha foydalanuvchilar uchun katta muammolarga olib kelishi mumkin.
Manba: opennet.ru