欧盟 CRA 法案进入下一阶段,开源“悲剧”即将上演?


eu-cyber-resilence-act-next-stage

尽管受到了诸多开源社区的反对,甚至被 Apache 软件基金会称为"即将发生的悲剧";但欧盟理事会会议还是就网络弹性法案 (CRA) 的“谈判授权 (negotiating mandate)”达成了一致,授权轮值主席国西班牙与欧洲议会就立法的最终版本进行谈判。此次谈判被称为“三部曲”,涉及欧盟委员会、欧洲议会和欧盟理事会。 

欧洲议会工业、研究和能源委员会 (ITRE) 以 61 票赞成、1 票反对、10 票弃权的结果批准了 CRA 草案。该法规草案对硬件和软件产品的设计、开发、生产和市场销售提出了强制性网络安全要求拟议的法规将适用于直接或间接连接到其他设备或网络的所有产品。

根据介绍,该立法的目的是为物联网产品等联网设备提供共同的安全要求,以便它们“在整个供应链和整个生命周期中都是安全的”。旨在结束设备运行不安全固件、无法轻松更新,或供应商对已退出市场的产品安全性关注甚少的弊端。该立法包括一个用于表明产品符合标准的 CE marking,因此有时也被称为“CE mark for software”。

但这个法案或将给 OSS 社区带来意想不到的后果和难以承受的成本焦虑。ASF 公共事务副总裁 Dirk-Willem van Gulik 指出,CRA"提出了一系列要求,这些要求要么威胁到开源贡献或我们的公共资源非常脆弱的'双赢'局面,要么违背了行业的良好做法,要么根本不可能实现,也就是说,它试图将开源公共资源与商业部门等同对待"。

OSI 也曾在今年年初汇总了来自文档基金会(LibreOffice)、Python 软件基金会、电子前沿基金会、RIPE、Linux 基金会、GitHub、华为、微软、Sonatype 等项目和公司对拟议的 CRA 的回应和担忧。OpenInfra 基金会评论称:"虽然欧盟委员会试图(通过序言 10 中表达的豁免)保护开源软件,但在共同立法过程中并未与更广泛的开源社区协商,因此使用的措辞很可能产生相反的效果"。

流行文件传输实用程序供应商 Filezilla 表示,“所有开源软件都遵循一个基本原则:生产者免费提供软件,但对其使用不承担任何责任或保证。CRA 将不可避免的责任强加给自由软件的生产者,此举违反了这一原则”。因此,该项目表示将暂停下载权限以示抗议。

该立法自初稿以来已经过多次修订,但 Eclipse 基金会执行董事 Mike Milinkovich 在一份简报中表示,虽然内部市场和消费者保护委员会 (IMCO) 做出的修订“对开源有利”,但起主导作用的 ITRE 委员会的修订“非常令人担忧”。Milinkovich 表示,ITRE 委员会“得出了坚定的结论,即大多数开源项目和所有开源基金会都应该对 CE Mark 的一致性负责”。

Mozilla 也表达了类似的担忧,ITRE 的修正案意味着“以企业开发者为贡献者的开源项目将受到 CRA 的约束。

Percona 社区负责人 Joe Brockmeier 向 Dev Class 表示,立法提案进展如此之快令人沮丧。他还担心,尽管 ASF、Eclipse 等都提出了一些反对声音,但“迄今为止,业界的反应还不够强烈,无法应对立法一旦颁布可能会造成非常大的破坏。正在考虑的立法是仓促通过的,没有足够的时间让受影响的组织和个人做出反应。当前的草案对开源软件开发构成了重大威胁。它的预期范围和影响将威胁开源开发,使市场上的较小参与者(如 Percona)处于不利地位,并且可能弊大于利。”

“当开发人员能够在不考虑雇主或国籍的情况下进行协作时,开源软件才能发挥最大作用。我们之前已经看到过有关加密和美国法规的问题,以及与受制裁国家的人员合作的限制。欧盟要求向欧盟机构报告漏洞可能会导致安全漏洞报告的扭曲。受到这些限制的项目,例如那些包含欧洲开发人员的项目,可能会被绕过。”

他认为,CRA 可能会驱逐一些开源的开发和参与力量。“"在急于为安全做点什么 的时候,重要的是我们不要破坏或损害平等地为每个人服务的重要公共资源。如果在这个节骨眼上不能阻止 CRA,我们至少要设法确保在为时已晚之前对其进行改进。”

此外,OpenUK 首席执行官 Amanda Brock 还透露,他们听说供应商现在将以类似于出口管制的管理方式,直接阻止他们的代码进入欧洲。"这可能会对欧洲的科技行业造成严重损害。"

她补充称,尽管欧盟的开源项目办公室已经成立了5年,但他们仍然只专注于只为中小企业提供“豁免权”,这表明欧盟完全不了解开源软件的运作形式。“只关注中小型企业而不关注开源软件的本质是极其短视的,而且会造成欧洲科技公司长期缺乏增长的循环。”

延伸阅读:

  • 付费为爱发电?欧盟 CRA 法案或将破坏开源生态!
  • Python 基金会:欧盟立法应该给予 FOSS 社区明确的豁免

相關推薦

2023-02-10

去年 9 月,欧盟提出了一项网络弹性法案 (CRA) ,目标是“加强网络安全规则,以提供更安全的硬件和软件产品”。但该法案随即引起了公众的批评,因为它可能会对开源生态产生严重的影响。 这个法案可以理解为软件产品的

2023-04-15

Python 软件基金会 (PSF) 发布公告称,欧盟拟议的 CRA 法案可能给 Python 生态系统造成意想不到的后果。 该基金会在审查了拟议的《网络弹性法案》和《产品责任法案》之后发现,法案中的一些内容会将“组织的使命和开源软件社

2023-02-09

GitHub CEO Thomas Dohmke 近日在布鲁塞尔举行的欧盟开源政策峰会上对欧盟即将出台的 AI 法案 (Artificial Intelligence Act) 发表了看法称,开源开发者应该免于此法案的约束,并强调了开源在欧洲 AI 发展中的重要性。 欧盟 AI 法案

2024-01-03

的熟练劳动力。 开源监管的前景如何? 目前,美国和欧盟都已经围绕人工智能制定了立法和监管,但具体的成效还需等到 2024 落地以后才能凸显。欧盟的《网络弹性法案》也将于 2024 年生效,其最近宣布的修订版貌似降低了

2024-09-24

性法》(CRA)等关键立法中纳入了开源。这一变化反映了欧盟对网络安全和竞争的日益承诺,但也给开源社区带来了复杂性。国家和欧盟层面的法规有时与开源开发的全球协作性质相冲突,这需要谨慎的政策制定来平衡两者。

2022-05-18

openSUSE Leap 15.4 已进入 RC 阶段,这意味着此发行版的软件包即将进入冻结状态,目前可在服务器、工作站、台式机以及虚拟化和容器中使用。负责版本发布的主管 Lubos Kocman 表示,openSUSE Leap 15.4 将于 5 月 27 日正式发布,并建

2024-09-26

重点是关注可能会在今年晚些时候实施的《欧洲网络弹性法案》(CRA)。 有关工作组的更多信息,可访问:https://orcwg.org/participate/

2023-09-11

问性,可以保护您的数据并让您掌握自己的信息。 由于欧盟新制定的数字市场法案 (DMA),苹果将会在欧盟 27 个国家为 iPhone 等设备开放第三方应用侧载功能,因此苹果有充足的理由来推广自家应用。

2022-07-30

t 官方博客公布的开发进度,从 8 月 3 日开始,Godot 4.0 将进入功能冻结阶段,预计在未来五到六周内发布 4.0 Beta 1。 具体进度: 8 月 3 日:4.0 进入功能冻结阶段;开发者最好在此之前提交重要变更代码 8 月 17 日:确定

2022-08-12

NET 7 发布了最后一个预览版 Preview 7,在此之后将会进入 RC 阶段。 此版本主要变化包括对 System.LINQ、Unix 文件权限、底层结构、p/Invoke 源代码生成、代码生成和 websocket 的改进。 优化System.LINQ System.Linq现在包含Order和OrderDescen

2023-06-21

Red Hat 工程师正在“积极启动 CentOS Stream 10”,现在他们正在将 Fedora Enterprise Linux Next (ELN) 的软件包等内容大量导入 CentOS Stream 10,预计在 7 月 19 日左右会在 Gitlab 中创建最初的 CentOS Stream 10 分支。 但初始化的 CentOS Stream 10 暂

2022-07-28

Python 3.11.0 第五个 Beta 版本已发布。按照发布日程,Beta5 是 Beta 阶段的最后一个版本。Beta 阶段主要是面向社区让使用者充分测试新特性,以及修复错误。Beta 之后是 RC,在 RC 发布之前,功能可能会被修改或在极少数情况下被删

2022-11-06

2017年,「流处理」热力值超过「批处理」,大数据处理进入实时阶段。随着数据规模越来越大,数据结构更多样化,「数据集成」从2020年开始爆发式增长。 三大热力趋势:多元化、一体化和云原生 用户需求多样化推动技术多

2023-08-20

据悉,法国政府正在制定一项旨在打击网络欺诈的 SREN 法案 (“Projet de loi Visant à sécuriser et reguler l'espace numérique”),包含大约 20 项提案。其中导致此次争议的是法案的第 6 条内容,即,计划要求网络浏览器开发商阻止出现在