eu-cyber-resilence-act-next-stage
尽管受到了诸多开源社区的反对,甚至被 Apache 软件基金会称为"即将发生的悲剧";但欧盟理事会会议还是就网络弹性法案 (CRA) 的“谈判授权 (negotiating mandate)”达成了一致,授权轮值主席国西班牙与欧洲议会就立法的最终版本进行谈判。此次谈判被称为“三部曲”,涉及欧盟委员会、欧洲议会和欧盟理事会。
欧洲议会工业、研究和能源委员会 (ITRE) 以 61 票赞成、1 票反对、10 票弃权的结果批准了 CRA 草案。该法规草案对硬件和软件产品的设计、开发、生产和市场销售提出了强制性网络安全要求,拟议的法规将适用于直接或间接连接到其他设备或网络的所有产品。
根据介绍,该立法的目的是为物联网产品等联网设备提供共同的安全要求,以便它们“在整个供应链和整个生命周期中都是安全的”。旨在结束设备运行不安全固件、无法轻松更新,或供应商对已退出市场的产品安全性关注甚少的弊端。该立法包括一个用于表明产品符合标准的 CE marking,因此有时也被称为“CE mark for software”。
但这个法案或将给 OSS 社区带来意想不到的后果和难以承受的成本焦虑。ASF 公共事务副总裁 Dirk-Willem van Gulik 指出,CRA"提出了一系列要求,这些要求要么威胁到开源贡献或我们的公共资源非常脆弱的'双赢'局面,要么违背了行业的良好做法,要么根本不可能实现,也就是说,它试图将开源公共资源与商业部门等同对待"。
OSI 也曾在今年年初汇总了来自文档基金会(LibreOffice)、Python 软件基金会、电子前沿基金会、RIPE、Linux 基金会、GitHub、华为、微软、Sonatype 等项目和公司对拟议的 CRA 的回应和担忧。OpenInfra 基金会评论称:"虽然欧盟委员会试图(通过序言 10 中表达的豁免)保护开源软件,但在共同立法过程中并未与更广泛的开源社区协商,因此使用的措辞很可能产生相反的效果"。
流行文件传输实用程序供应商 Filezilla 表示,“所有开源软件都遵循一个基本原则:生产者免费提供软件,但对其使用不承担任何责任或保证。CRA 将不可避免的责任强加给自由软件的生产者,此举违反了这一原则”。因此,该项目表示将暂停下载权限以示抗议。
该立法自初稿以来已经过多次修订,但 Eclipse 基金会执行董事 Mike Milinkovich 在一份简报中表示,虽然内部市场和消费者保护委员会 (IMCO) 做出的修订“对开源有利”,但起主导作用的 ITRE 委员会的修订“非常令人担忧”。Milinkovich 表示,ITRE 委员会“得出了坚定的结论,即大多数开源项目和所有开源基金会都应该对 CE Mark 的一致性负责”。
Mozilla 也表达了类似的担忧,ITRE 的修正案意味着“以企业开发者为贡献者的开源项目将受到 CRA 的约束。
Percona 社区负责人 Joe Brockmeier 向 Dev Class 表示,立法提案进展如此之快令人沮丧。他还担心,尽管 ASF、Eclipse 等都提出了一些反对声音,但“迄今为止,业界的反应还不够强烈,无法应对立法一旦颁布可能会造成非常大的破坏。正在考虑的立法是仓促通过的,没有足够的时间让受影响的组织和个人做出反应。当前的草案对开源软件开发构成了重大威胁。它的预期范围和影响将威胁开源开发,使市场上的较小参与者(如 Percona)处于不利地位,并且可能弊大于利。”
“当开发人员能够在不考虑雇主或国籍的情况下进行协作时,开源软件才能发挥最大作用。我们之前已经看到过有关加密和美国法规的问题,以及与受制裁国家的人员合作的限制。欧盟要求向欧盟机构报告漏洞可能会导致安全漏洞报告的扭曲。受到这些限制的项目,例如那些包含欧洲开发人员的项目,可能会被绕过。”
他认为,CRA 可能会驱逐一些开源的开发和参与力量。“"在急于为安全做点什么 的时候,重要的是我们不要破坏或损害平等地为每个人服务的重要公共资源。如果在这个节骨眼上不能阻止 CRA,我们至少要设法确保在为时已晚之前对其进行改进。”
此外,OpenUK 首席执行官 Amanda Brock 还透露,他们听说供应商现在将以类似于出口管制的管理方式,直接阻止他们的代码进入欧洲。"这可能会对欧洲的科技行业造成严重损害。"
她补充称,尽管欧盟的开源项目办公室已经成立了5年,但他们仍然只专注于只为中小企业提供“豁免权”,这表明欧盟完全不了解开源软件的运作形式。“只关注中小型企业而不关注开源软件的本质是极其短视的,而且会造成欧洲科技公司长期缺乏增长的循环。”
延伸阅读:
- 付费为爱发电?欧盟 CRA 法案或将破坏开源生态!
- Python 基金会:欧盟立法应该给予 FOSS 社区明确的豁免