Новый закон ЕС угрожает будущему open source

Аватар пользователя thefish

Евросоюз собирается принять закон под названием Cyber Resilience Act (CRA), предлагаемое которым регулирование - существенная угроза будущему индустрии пограмм с открытым исходным кодом (Open Source). Хотя намерения самые благие - улучшить кибербезопасность - что очень хорошо, в текущей форме отсутствют чёткие исключения ответственности для многих держателей и разработчиков программного обеспечения с открытым исходным кодом - что может стать смертельным приговором для open source в Евросоюзе и будет иметь глобальные последствия. Закон CRA был предложен 15 сентября 2022 года Еврокомиссией. Целью было улучшение кибербезопасности с помощью общих стандартов кибербезопасности для всех продуктов с цифровыми элементами. В теории закон замечательный. Но есть несколько областей, которые беспокоят разработчиков open source и организации этой отрасли.

Современные приложения на 90% состоят из открытого свободного кода; ущемление разработчиов open source привело бы к фрагментации сообщества и создало бы препятствия для проектов во множестве секторов, включая критическую инфраструктуру, здравоохранение и вооружённые силы.

 Выглядящий преднамеренным отказ от исключений ответственности для открытого исходного кода наложил бы чрезмерную ответственность на фонды, спонсирующие open source и держателей репозиториев, а также представляет серьезную угрозу не только для безопасности и инноваций в ЕС, но и для глобального сотрудничества в этой области. Это то о чём мы и многие другие представители индустрии пытались предупредить уже шесть месяцев. Увы, Евросоюз остался глух к голосу индустрии. Возлагание ответственности за инциденты с безопасностью на  разработчиков open source, чей софт оказывается составной частью коммерческого продукта приведет к замедлению инноваций и нанесет ущерб экономике ЕС - без каких-либо серьезных улучшений в области безопасности.

 Голосование за постановку на голосование законопроекта назначено на 19 июля в комиссии парламента по промышленности, технологиям, исследованиям и энергии (Industry, Research and Energy / ITRE). И если ничего не сделать - закон будет принят даже без голосования на пленарной сессии самого парламента. Я уверен что если сообщество open source не выступит сейчас, законопроект станет законом, и сообщество open source в нынешнем виде прекратит своё существование.

 В предлагаемом законе Cyber Resilience Act две основные проблемы: он препятствует коммерческой поддержке open source и ставит под угрозу раскрытие найденных уязвимостей.

 CRA препятствует коммерческой поддерже open source

Закон в новой редакции предлагает новые требования к кибербезопасности программных и "железных" продуктов, во многом повторяя "Национальную стратегию кибербезопасности" США. Он призывает поставщиков и производителей программного обеспечения чётко понимать - какие именно компоненты составляют их программы и отзывать программное обеспечение, подверженное уязвимости. Но, в отличие от недавно опубликованной в подробностях стратегии США, закон пытается оторвать определенные open source продукты от фондов и крупных компаний. Тем самым закон потенциально влияет на любой open source проект, что созаёт целую сеть последствий.

Не надо упоминать, что проекты с открытым исходным кодом сильно полагаются на добровольцев, индивидуальных жертвователей и маленькие команды, которые часто работают без существенных ресурсов или финансовой поддержки. Поддержка, которую индивидуальные программисты и фонды получают, часто исходит от коммерческих компаний, которые имеют адекватные ресурсы, чтобы дать разработчикам возможность поработать на благо общества.

Текущая редакция CRA исключает только программные продукты с исходным кодом, которые не имеют вокруг них никакой коммерческой активности. К сожалению, закон определяет коммерческую активность следующим образом:

> если основной вклад в разработку проекта с открытым исходным кодом внесли разрабочики, трудоустроенные в коммерческих компаниях и когда такие разработчики или их работодатели могут получить контроль над тем, какие изменения принимаются в кодовую базу, проект должен считаться имеющим коммерческую природу.

Можно это воcпринимать так: если основной вклад внёс не безработный программист, то проект коммерческий. Не поясняется каким было изначальное намерение; возможно, имеелось в виду получение контроля над кодовой базой работодателем.

Кроме того, говорится:

"Принятие пожертвований без намерения извлечь прибыль не должно считаться коммерческой активностью, не считая случаев когда пожертвования сделаны коммерческой компанией и регулярны по своей природе".

Первая часть приемлема, но регулярные пожертвования от коммерческих компаний являются преимуществом при написании open source. Сказанное в законе может заставить проекты с открытым кодом отказаться от больших пожертвований от коммерческих компаний, чтобы избежать "заражения" коммерциализацией и, возможно, заставит коммерческие компании запретить своим сотрудникам добавлять что-либо в open source проекты и даже полностью отказаться от дальнейшей поддержки таких проектов.

Более того, если CRA примут без должных исключений, такие разработчики могут столкнуться с судебным риском и ответственностью уязвимости, найденные в коммерческих продуктах. У разработчиков open source нет возможности увидеть - как именно и в каких случаях используется их продукт; только конечный производитель это знает.

Потенциальный судебный риск и отсутсвие пожертвований могут отвратить разработчиков от дальнейшего развития и даже поддержки их проектов. Такая ситуация не только подорвёт дух open source, но и может привести к кризису, к изоляции ЕС от остального мира. Производители OSS вне Евросоюза станут избегать рынка ЕС, что значит прекращение доступа ЕС к Linux, Apache, Kubernetes и многим другим проектам. Репозитории вроде Maven Central, npm и PyPi могут запретить скачивание для ЕС из опасений что их сочтут распространителями [софта с уязвимостями]. Проекты из ЕС, озабоченные возможной ответственностью могут убрать свой исходный код из Интернета, а компании в ЕС могут заставить прекратить спонсорство open source.

CRA ставит под угрозу раскрытие найденных уязвимостей

Закон также требует раскрытия найденных уязвимостей для Агентства по кибербезопасности Евросоюза (ENISA) в течение часов после обнаружения, вне зависимости имеется ли уже заплатка для этой уязвимости или её еще нет. Эти меры могут сильно затруднить координированное раскрытие информации об уязвимостях - когда исследователи дают производителям время для разработки пачтей закрытия уязвимостей, еще до того как об уязвимости объявлено публично. Это увеличит шансы злоумышленников разработать эксплойт до того как уязвимость будет закрыта, подставляя под риск взлома каждую компанию, пользующуюся уязвимым софтом. Это будет неудачный исход событий для закона, который должен бы был улучшить кибербезопасность.

Что мы можем сделать?

Как я упоминал ранее, время критично, так как закон движется быстро и будет проголосован комитетом на этой неделе. Мы, как сообщество, должны действовать немедленно. Github и другие представители индустрии должны выступить с публичной оппозицией законопроекту. Разрабочики из ЕС, держатели репозиториев и прочие должны обратиться к своим депутатам в Европарламенте для дальнейшего расследования и озвучивания позиции сообщества open source на слушаниях.

Законотворцам необходимо понимать важность совместной работы и роль глобального сообщества разработчиков в продвижении иноваций из open source. Проекты с открытым программным кодом поддерживают большинство того софта которым мы пользуемя каждый день. Это кровь интернета. Закон, который мешает жертвователям помешает способности сообщества open source поддерживать существующие проекты и доставлять новый софт, ударит по технологической индустрии, повредит экономике ЕС и ухудшит безопасность проргаммного обеспечения в целом.

Авторство: 
Авторская работа / переводика
Комментарий автора: 

Автор -  Брайан Фокс, член Apache Software Foundation и бывший глава проекта Apache Maven, ныне CTO Sonatype. Американец.

Комментарии

Аватар пользователя Rinat Sergeev
Rinat Sergeev(7 лет 10 месяцев)

Молодцы. К общему кризису ЕС - добавится ещё и кризис ИТ...

Аватар пользователя простой человек

у "палки два конца", безопасность и ограничение.

Аватар пользователя абра
абра(6 лет 10 месяцев)

Язык - любой возникает (создаётся) для передачи понятий. Даже языки программирования.

Понятия множатся, развиваются и совершенствуются вместе с языком. Программа как язык создания систем не исключение.

И вот эти твари безмозглые хотят присвоить себе право управления развитием языка систем и развитием систем в конечном итоге?

Да сгниют их тухлые мозги от перегрузки пивом!smile22.gif

Аватар пользователя BQQ
BQQ(11 лет 8 месяцев)

Всё просто: Запад считает, что имеет решающее преимущество в области разработки ПО.

Поэтому ставит твердые границы на пути свободной миграции идей и мелких сущностей типа питоновских библиотек, которые сейчас пишут все, кому не лень.

Аватар пользователя klk
klk(9 лет 1 неделя)

Всё просто: Запад считает, что имеет решающее преимущество в области разработки ПО.

Поэтому ставит твердые границы на пути свободной миграции идей и мелких сущностей типа питоновских библиотек, которые сейчас пишут все, кому не лень.

Или США топит ЕС. 

Аватар пользователя Simurg
Simurg(7 лет 9 месяцев)

Топит, но тут есть и другое. Эффект будет именно глобальным. Например, обязанность открывать информацию об эксплойте мгновенно реально даёт возможность запустить атаку до выхода и установке обновлений.

И вот не пофиг ли русскому, у которого стоИт Линукс на каком-то важном месте, что инфа была раскрыта в ЕС? Она ж в ЕС не останется, а Линукс везде Линукс - и в Африке, и в Китае.

Аватар пользователя klk
klk(9 лет 1 неделя)

Эм, как я понимаю, сейчас ЦРУ получает информацию мгновенно, а все остальные - спустя время. Так что для русского мало что изменится, но у него появляется возможность отреагировать smile1.gif

Аватар пользователя Simurg
Simurg(7 лет 9 месяцев)

Нет. Сейчас инфу получают разработчики (то, что ещё и ЦРУ - не так важно, и погодите кипятить говно). Разраюы выпускают обновление, обновление ставится, инфа публикуется.

Да, какое-то время ЦРУ имеет эксплойт. И? ЦРУ не может нанести столько урона, сколько миллион вымогателей. И для рядового русского будет выбор между пиратской виндой, в которой может пошарить ЦРУ (если он, нафиг, ЦРУ нужен) и Линуксом, который будет под атакой кого ни попадя просто ради фана даже.

Рядовой русский и так-то не фанат Линукса... а тут - ну просто нафига ему гемор, если он игрушки гоняет? Нафиг не надо.

А это база инсталляций. А она - определяет кормовую базу разрабов, которых и так-то немного. Нет пользователей - нет разрабов - нет поддержки - нет софта... нет альтернативы винде. Да, чуть в долгую, но цепочка железная и короткая, конец недолог.

Аватар пользователя klk
klk(9 лет 1 неделя)

Да, какое-то время ЦРУ имеет эксплойт. И? ЦРУ не может нанести столько урона, сколько миллион вымогателей. 

Все ваши рассуждения хороши для мирного времени. В военное время будет не до игрушек. 

Аватар пользователя Simurg
Simurg(7 лет 9 месяцев)

Все мои рассуждения хороши прямо сейчас.

Расскажите мне про нынешнее совершенно мирное время, я хочу знать о нём больше.

Аватар пользователя klk
klk(9 лет 1 неделя)

Все мои рассуждения хороши прямо сейчас.

Прямо сейчас - это лишь жалкое начало.

Расскажите мне про нынешнее совершенно мирное время, я хочу знать о нём больше.

Так а что вы про него не знаете? Все спокойно пользуются американским ПО и никто системные атаки на него не устраивает.

Аватар пользователя Simurg
Simurg(7 лет 9 месяцев)

То есть, весь диалог и цепочку рассуждений выше Вы забыли...

Аватар пользователя klk
klk(9 лет 1 неделя)

То есть, весь диалог и цепочку рассуждений выше Вы забыли...

Перечитал всю цепочку два раза, но так и не понял вашего намека.

Аватар пользователя Simurg
Simurg(7 лет 9 месяцев)

О, говна типа питоновских библиотек будет навалом и далее.

Топят именно крупные серьёзные системы, которые сейчас могут (или могли бы) стать РЕАЛЬНОЙ альтернативой американским системам.

ОС, но не Виндовс? Линукс! Верно?

База данных, но не Оракс, не MS SQL? MySQL, Postgress, так?

И т.п. и т.д.

...уничтожение крупных проектов open source приводит мир к абсолютной зависимости от американских поставщиков. У китайцев никаких альтернатив по ряду ключевых элементов нет, только опенсорс (точнее, их альтернативы и живы за счёт опенсорса). Про Россию и не говорю.

Аватар пользователя Waldis
Waldis(2 года 11 месяцев)

Чем вам Пайтон так немил?

Аватар пользователя Simurg
Simurg(7 лет 9 месяцев)

? Почему Вы решили, что немил?

Просто масса нугет-пакажей - мусор. И с эти мусором ничего не станется. Ну хорошо, пусть даже эти библиотеки офигенны, пусть. Суть в том, что они маленькие и воспроизвести их (большинство) - вообще не проблема, и ценности у них почти никакой.

...а вот представьте себе, что у страны нет ОС. Вот вообще нет. О, то-то же. И посадить весь мир на винду (даже пиратскую) безальтернативно - это офигенно для производителя. И точно так же по всему списку далее - ОС, сервера, ключевые сервисы...

Аватар пользователя Waldis
Waldis(2 года 11 месяцев)

Соглашусь с вами.

Мелкомягкие — зло.

Последняя винда в хозяйстве была четвёртая энтя (ну ещё полуось одно время :)).

Аватар пользователя Simurg
Simurg(7 лет 9 месяцев)

? Почему Вы решили, что немил?

Просто масса нугет-пакажей - мусор. И с эти мусором ничего не станется. Ну хорошо, пусть даже эти библиотеки офигенны, пусть. Суть в том, что они маленькие и воспроизвести их (большинство) - вообще не проблема, и ценности у них почти никакой.

...а вот представьте себе, что у страны нет ОС. Вот вообще нет. О, то-то же. И посадить весь мир на винду (даже пиратскую) безальтернативно - это офигенно для производителя. И точно так же по всему списку далее - ОС, сервера, ключевые сервисы...

Аватар пользователя midinoise
midinoise(8 лет 4 месяца)

каким образом принятый закон в ЕС вдруг уничтожит опенсорсный проект?

Для справки, .net или openjdk это то же опенсорс как бы...

Аватар пользователя Simurg
Simurg(7 лет 9 месяцев)

Выше написал.

Аватар пользователя midinoise
midinoise(8 лет 4 месяца)

"уничтожение крупных проектов open source приводит мир к абсолютной зависимости от американских поставщиков"

это вот это что ли? А ничего, что большинство крупнейших  open source проектов творение этих самых "американских поставщиков"?

Вы в курсе, кому github принадлежит?

Аватар пользователя Надоело
Надоело(3 года 2 месяца)

IMHO - рот кое у кого порвётся

Аватар пользователя hardknap
hardknap(12 лет 2 месяца)

Интересно было бы на это посмотреть. Пусть примут без поправок.

Аватар пользователя Pol Alex
Pol Alex(6 лет 11 месяцев)

Значит Глобалкорпы посчитали, что хватит Open Source на свободе гулять.
Жирок нагуляли, пора запрягать и в стойло.

Аватар пользователя Erian
Erian(2 года 1 месяц)

ИМХО закон относительно вменяемый и полезный(по крайней мере с точки зрения государств). Он закрывает очень много дыр в законодательстве, которые позволяют избегать ответственности за намеренное создание вредоносного ПО. Есть несколько спорных моментов, но даже в таком виде он на порядки лучше, чем то, что было в законах ЕС до сего момента. Другое дело, что его бы стоило принять лет 20 назад, сейчас уже довольно поздно. Нытья будет очень много

Аватар пользователя офисный планктон с Авантюры
не по теме
опенсорса
но всеж, в том числе, и  про софт
мож кто пропустил
а видос неплохой

https://youtu.be/62WYddkyTvw

2 270 просмотров 26 июл. 2023 г.

Не так давно нейросети стали главным трендом. Игорь Ашманов рассказывает о том, как искусственный интеллект может повлиять на бизнес, государство, общество и другие сферы. Также в ролике вы узнаете о возможностях и рисках использования ИИ в будущем, и смогут ли они заменить профессии с рабочими местами.

...

Аватар пользователя офисный планктон с Авантюры
кстати, про этот закон отписались 
причем, довольно подробно,
все, упомянутые (и выделенные жирным) в тексте
и не упомянутые
на своих корпоративных сайтах
кстати, у хуавея тож неплохой релиз
Аватар пользователя midinoise
midinoise(8 лет 4 месяца)

Кажется, что все строго наоборот.

А это вообще перл, вызывающий хохот:

"и сообщество open source в нынешнем виде прекратит своё существование"

Это каким образом?  

"Такая ситуация не только подорвёт дух open source, но и может привести к кризису, к изоляции ЕС"

Вот это безусловно.

Вообще любопытно, какое дело американцу до дураков из ЕС. И кажется, что дело тут не в опенсорс, а в коммерческих интересах американских компаний...

Аватар пользователя офисный планктон с Авантюры
бизнес модель, основанная на Open Source, оч плохо администрируется налоговыми службами государств
госчиновникам нужны налоги
и соотв - политической системе стран, основанной на использовании этих госчиновников
все
Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

Какая-то шляпа. Ну вот выложил я на гитхаб что-то под свободной лицензией. Хочешь - пользуйся, не хочешь - не пользуйся. As is. Для отдельных желающих может даже поддержку за денежку малую сделаю. Не пойму только, как на эти телодвижения может повлиять закон - запретят скачивать, собирать и использовать или выдадут ордер на мой арест в случае, если я на какую-нибудь горячую CVE не прореагирую?

Аватар пользователя офисный планктон с Авантюры
бизнес модели, основанные на Open Source, уже есть
и их много
и их (серьезные) создают большие корпорации
специализированные
и они все отн новые
и законодательство их "не ловит" 
почти совсем
те они почти полностью за пределами юридического поля
хотят как то это исправить
ну вот каким то вот таким способом
"гоняться" за всеми этими моделями в отдельности никто не может
скорости реагирования не хватает
да и скорости их осознания, даже
Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

и законодательство их "не ловит" 

Например? Большие (и малые) конторы давно научились жить с OSS. И выглядит это как поставка чего-то с открытыми исходниками в составе своего продукта. Если продукт для пользователя платный, то вопросы с ответственностью примерно по той же схеме, что и с закрытым ПО. Если бесплатный - жрите что дают и не вякайте (это вообще относится в равной степени к любому потребителю халявы в любой стране мира).

Аватар пользователя офисный планктон с Авантюры
Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

Глаза бы не видели - лучшие годы жизни были погребены под этой хренью. Забыл как страшный сон smile3.gif

Аватар пользователя офисный планктон с Авантюры

Гипервизор KVM (Kernel-based Virtual Machine) 

https://market.cnews.ru/news/top/2020-04-08_virtualizatsiya_kvm_harakteristiki

Аватар пользователя DjSens
DjSens(6 лет 3 месяца)

чё ты там выложишь если ты суть статьи не понял даже ?    ты программы-то писать умеешь ?

и это касается только жителей ЕС,  а ты вроде в России обитаешь,  тебя не смогут засудить из ЕС

Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

Разве необходимо хамить, когда можно не хамить? 

Я программы писать умею. И документацию читать умею. А вот с речекряком современным с трудом справляюсь, не отказываюсь от переводчика смыслов.

Аватар пользователя DjSens
DjSens(6 лет 3 месяца)

как говорят в народе - "грубиянов боятся - в инет не ходить"  :)

Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

Да-да... зубов бояться - в рот не давать, есть и такой вариант. Но, а всё-таки, если по существу вопроса - ты понял чего эти крендели желают из европарламента? 

Аватар пользователя DjSens
DjSens(6 лет 3 месяца)

если найдут уязвимость в коммерческом софте,  в котором использован open source - то засудят того, кто писал этот open source

Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

Но ты же понимаешь что это, мягко говоря, нереализуемый бред? Дыра может быть на стыке, к примеру. Или по причине того, что в чужой вызывающей стороне изменилась какая-то структура и теперь вызываемая сторона её криво переваривает. 

Да, в конце концов, я по пьяни helloworld выложил на новом интересном языке, а потом выяснилось что там printf кривой и рута дает при определенных значениях $TERM. И что теперь - не пить и не выкладывать хеловолды?..

Аватар пользователя DjSens
DjSens(6 лет 3 месяца)

так вот и создают рычаг давления на open source,    чтоб народ не обменивался знаниями на халяву,  а то ишь чего удумали - делают аналоги платного софта, мешают рубить прибыль

Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

Я бы скорее от США такого шага ждал. Но, возможно, они просто самого смелого "добровольца" вперед пустили, проверить качество чужого минного поля...

Аватар пользователя DjSens
DjSens(6 лет 3 месяца)

может это просто вредительство типа взрыва потоков ?

Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

Ну, с моей точки зрения это примерно так и выглядит, только шума меньше и пока что не видно на горизонте яхты, арендуемой симпатизантами 404.

Аватар пользователя Prokrust
Prokrust(9 лет 1 неделя)

Таки нет, в США корпорации пользуются свободным ПО - им не с руки. Это больше похоже на попытку укусить США - и отморозить себе уши. Но вернее всего крыша едет - у ЕС шизофрения, много голосов, борьба насоли соседу.

Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

Ну, если мы про аналогии, то в США и газом пользуются, но это не значит, что им не выгодно, если ЕС газом пользоваться перестанет. 

Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

Ой, а вот и чьи-то ушки синхронно показались. Совершенно случайное же совпадение, я абсолютно уверен!

 краткое изложение

Аватар пользователя Barmaglo
Barmaglo(9 лет 5 месяцев)

Ну вот выложил я на гитхаб что-то под свободной лицензией. Хочешь - пользуйся, не хочешь - не пользуйся.

Это не про Вас и не для Вас. Это против больших компаний зарабатывающих на техподдержке ОпенСорса.

Потому и нытье полетело в народ, что крупные компании не хотят платить налоги и отвечать за свои продукты в Опенсорсе.

Аватар пользователя Harsky
Harsky(12 лет 7 месяцев)

Вдвойне не понял. 

Либо они берут за свои опенсорсные продукты деньги (обычно это в рамках поддержки) и тогда отвечают в рамках подписанного SLA, либо ты качаешь какую-нибудь SUSE (это я к примеру, даже не знаю - есть у них сейчас что-то бесплатное или нет) и пользуешься на свой страх.

Ну вот, допустим, я - GMBH "Рога и копытэн". разрабатываю и продаю ПО для удаленного доступа типа AnyDesktop. При этом, раздаю бесплатные вариант своего же софта - в бинарях и, для эстетов и маленьких любителей Gentoo, в исходниках. В этот бесплатный вариант входит почти всё, что и в вариант, который за деньги, можно их считать даже одинаковыми. 

Мне (GMBH) перестать выкладывать бесплатные сборки? Или поклясться на крови что патчи будут выходить раньше, чем CVE будут публиковаться или что?

Страницы