去年 9 月,欧盟提出了一项网络弹性法案 (CRA) ,目标是“加强网络安全规则,以提供更安全的硬件和软件产品”。但该法案随即引起了公众的批评,因为它可能会对开源生态产生严重的影响。
这个法案可以理解为软件产品的 CE (欧盟认证)标准,有四个具体目标:
- 要求软件制造商提高“全生命周期”数字元素产品的安全性
- 提供一个“一致的网络安全框架”来衡量软件的安全合规性
- 提高软/硬件产品的“数字元素”的安全属性透明度
- 让客户可以“放心使用带有数字元素的产品”
总而言之,这是一套新的欧盟软件安全认证规定。对于软件开发商和硬件制造商,它将增加新的网络安全要求、合格评定费、合格认证文件和报告义务等直接合规成本。当然,这些成本毫无意外地会转嫁到消费端,法案中如此描述:
这些额外成本是合规总成本的一部分,包括对企业和公共政务的负担,估计为 290 亿欧元(315.4 亿美元),随之而来的是消费者侧的软件价格将会上涨。
但每年在网络安全事件中受到的损失将减少 180 至 2900 亿欧元。
但对于大部分为爱发电的开源软件作者来说,这无疑是一项疯狂的规定,数年如一日的辛苦付出没有回报也就算了,还要自掏腰包来进行认定?该法案公布之后, 一些开源社区的领导人对其作出了严厉的评价,并提供了大量的意见反馈。
开源倡议组织 OSI 标准主管 Simon Phipps 亦提出了批评,认为该立法“可能会损害开源”,因为其关于开源软件部分的文本描述含糊不清,且“立法者完全不了解开源社区的实际运作方式”。目前 OSI 已向欧盟委员会提交了反馈,要求“就法案正文要求的开源例外情况开展进一步工作”,希望“任何不直接从软件商业化部署中受益的参与者”都可以免除合规责任。
Eclipse 基金会主任 Mike Milinkovich 认为: CRA 法案可能会从根本上改变整个开源生态系统的运转方式。现在大部分开源软件都是免费提供,可用于任何目的,且可以修改和进一步分发,但原作者、贡献者或分销商不提供任何保证或承担任何责任。如果通过立法的方式强制改变这种生态,可能会对欧洲的创新经济造成意想不到的后果。
此外,Milinkovich 还指出,CRA 会限制未完成开发的软件,未完全开发的软件只能用于测试用途,这又是一项对现有开源生态具有强烈破坏性的规定。在开源社区中,使用临时构建的软件版本是很常见的行为,且现有的开源许可证也不会限制软件的用途。
互联网协会执行顾问 Olaf Kolkman 也表达了担忧,他表示“应该修改法规,以明确在开源许可证下生产,并在非营利基础上分发的软件不在该法规范围内”。
目前欧盟委员会还在针对公众的意见不断修改这份法案,最新的修订时间是 23 年 1 月 30 日。如果处理不当,该法规可能会导致欧盟地区无法访问 Central、npm、PyPi 等常用的库系统,这对于欧盟和整个开源生态系统都将是灾难性的打击。
CRA 法案下载地址:https://ec.europa.eu/newsroom/dae/redirection/document/89543