Kết quả bỏ phiếu chung (GR, nghị quyết chung) của các nhà phát triển dự án Debian liên quan đến việc bảo trì các gói và bảo trì cơ sở hạ tầng đã được công bố, tại đó văn bản tuyên bố thể hiện quan điểm của dự án liên quan đến dự luật Đạo luật Phục hồi Mạng (CRA) được quảng bá ở Liên minh Châu Âu đã được phê duyệt. Dự luật đưa ra các yêu cầu bổ sung đối với các nhà sản xuất phần mềm nhằm khuyến khích duy trì bảo mật, tiết lộ thông tin về sự cố và loại bỏ kịp thời các lỗ hổng trong suốt vòng đời sản phẩm.
Trong trường hợp vi phạm các yêu cầu, mức phạt có thể lên tới 15 triệu euro hoặc 2.5% doanh thu hàng năm của công ty. Sau khi dự luật được thông qua, các nhà sản xuất sẽ được yêu cầu cung cấp phương tiện để cung cấp các bản vá cho các lỗ hổng bảo mật, tiến hành đánh giá rủi ro bảo mật trước khi đưa sản phẩm ra thị trường, thực hiện kiểm tra bảo mật sản phẩm (kiểm tra bên ngoài bắt buộc đang được áp dụng cho các hệ thống quan trọng), loại bỏ các lỗ hổng xuyên suốt. vòng đời và truyền đạt thông tin về các sự cố bảo mật trong vòng 24 giờ sau khi sự cố được phát hiện.
Bất chấp thực tế là, xét theo các xu hướng mới nổi, dự luật sẽ chỉ ảnh hưởng đến các nhà sản xuất phần mềm thương mại, cộng đồng lo ngại về tác động tiêu cực của nó đối với hệ sinh thái phát triển phần mềm nguồn mở và coi dự luật là yếu tố hạn chế sự tiến bộ của các dự án nguồn mở và cản trở sự phát triển của phần mềm nguồn mở như một phong trào quốc tế. Các công ty phát triển sản phẩm dựa trên các dự án nguồn mở quốc tế hoặc sử dụng thư viện nguồn mở sẽ phải chịu trách nhiệm về các vấn đề bảo mật và việc vá các lỗ hổng trong mã không đầy đủ, ngay cả khi mã đó được viết bởi những người đam mê từ các quốc gia khác. Người ta cho rằng sự xuất hiện của các rủi ro kinh doanh bổ sung sẽ làm giảm sức hấp dẫn của việc tạo ra phần mềm dựa trên nguồn mở.
Đồng thời, các dự án độc lập bao gồm mã từ các nhà sản xuất sản phẩm thương mại cũng có thể bị ảnh hưởng bởi hậu quả pháp lý. Ví dụ, có sự không chắc chắn về trách nhiệm pháp lý trong trường hợp mã nguồn mở do một công ty thương mại phát triển có thể được chuyển giao cho các dự án phi thương mại của bên thứ ba và được sử dụng trong các bản phân phối Linux.
Dự luật đưa ra trách nhiệm pháp lý đối với việc không tuân thủ các yêu cầu bảo mật, điều này mâu thuẫn với trách nhiệm xã hội của Debian trong việc phân phối phần mềm cho bất kỳ mục đích nào và không có hạn chế. Debian không theo dõi sự liên quan của mã trong các dự án thương mại, việc làm của các nhà phát triển và nguồn tài trợ cho các phát triển được cung cấp trong bản phân phối, do đó việc áp đặt các yêu cầu được chỉ định trong dự luật sẽ làm tăng rủi ro pháp lý khi sử dụng bản phân phối.
Có nguy cơ là các dự án thượng nguồn sẽ ngừng cung cấp mã của họ do lo ngại thuộc phạm vi điều chỉnh của CRA và việc áp dụng các hình phạt liên quan. CRA cũng có thể gây khó khăn hơn cho việc chia sẻ mã nguồn mở với cộng đồng, đòi hỏi các nhà phát triển phải cân nhắc các tác động pháp lý của việc cung cấp mã nguồn. Ngoài ra, dự luật làm giảm sức hấp dẫn của quy trình phát triển mở, vì công việc được hiển thị và minh bạch đối với mọi người và mã có thể được sử dụng trong quá trình phát triển, cho phép áp dụng các yêu cầu CRA khi làm việc trên sản phẩm, trong khi phần mềm độc quyền bị hạn chế. được phát triển đằng sau cánh cửa đóng kín và trở thành đối tượng của pháp luật khi được phát hành lần cuối.
Các nhà phát triển Debian đang kêu gọi loại bỏ hoàn toàn việc phát triển nguồn mở khỏi CRA và luật chỉ áp dụng cho các sản phẩm cuối cùng. Người ta cũng đề xuất rằng các yêu cầu CRA không áp dụng cho sản phẩm của các thương nhân cá thể và doanh nghiệp nhỏ, vì họ sẽ không thể đáp ứng tất cả các yêu cầu do CRA đặt ra và sẽ buộc phải đóng cửa hoạt động kinh doanh của mình.
Tuyên bố cũng đề cập đến bản chất đáng nghi ngờ của yêu cầu báo cáo các vấn đề bảo mật cho Cơ quan An ninh Thông tin và Mạng Châu Âu (ENISA) trong vòng 24 giờ sau khi xác định được sự cố hoặc nhận được thông tin về lỗ hổng bảo mật. Việc tích lũy thông tin về tất cả các lỗ hổng chưa được khắc phục ở một nơi có thể dẫn đến vấn đề lớn cho tất cả người dùng trong trường hợp rò rỉ thông tin, chuyển thông tin cho cơ quan tình báo hoặc xâm phạm ENISA.
Nguồn: opennet.ru