十多个开源行业机构发表了一封公开信,要求欧盟委员会 (EC) 重新考虑其拟议的《网络弹性法案》(CRA) 的各个方面,称如果在欧盟实施,它将对开源软件开发产生“寒蝉效应”它目前的形式。
包括 Eclipse Foundation、Linux Foundation Europe 和 Open Source Initiative (OSI) 在内的 13 个组织也指出,网络弹性法案的书面形式“给欧盟带来了不必要的经济和技术风险”。
这封信的目的似乎是让开源社区在 CRA 的演变过程中获得更大的发言权,因为它正在通过欧洲议会。
信中写道:
我们写信表达我们的担忧,即更大的开源社区在迄今为止的网络弹性法案的制定过程中没有得到足够的代表,并希望通过提供我们的支持来确保在整个联合立法过程中解决这个问题。开源软件占欧洲数字元素产品中软件的 70% 以上。然而,我们的社区并没有受益于与共同立法者建立的关系。
我们生产的软件和其他技术产品在对技术行业的贡献以及我们的数字主权和相关经济利益方面是前所未有的。有了 CRA,欧洲 70% 以上的软件在没有深入咨询的情况下即将受到监管。
早期阶段
《网络弹性法案》于 9 月首次在草案中公布,旨在将欧盟销售的联网产品的最佳网络安全实践编入法律。该立法旨在加强互联网连接的硬件和软件制造商,例如那些制造互联网玩具或“智能”冰箱的制造商,以确保他们的产品稳健并与最新的安全更新保持同步。
对违规行为的处罚可能包括高达 1500 万欧元或全球营业额 2.5% 的罚款。
虽然《网络弹性法案》仍处于早期阶段,在不久的将来还没有任何内容可以通过成为实际法律,但该立法已经在开源世界敲响了一些警钟。据估计,从 Web 浏览器到服务器,大多数现代软件产品的 70-90% 都是开源组件,但许多开源项目是由个人或小团队在业余时间开发的。因此,CRA 将CE 标志自我认证系统扩展到软件的意图,即所有软件开发人员都必须证明他们的软件是船型的,可能会因担心违反新立法而扼杀开源开发。
目前的立法草案实际上确实在一定程度上解决了其中一些问题。它说(强调我们的):
为了不妨碍创新或研究,在商业活动过程之外开发或提供的免费和开源软件不应包含在本条例中。对于公开共享并可自由访问、使用、修改和重新分发的软件(包括其源代码和修改版本)尤其如此。在软件的上下文中,商业活动的特点可能不仅是对产品收费,而且还对技术支持服务收费,通过提供制造商通过其他服务货币化的软件平台,或者通过使用出于除提高软件的安全性、兼容性或互操作性以外的其他原因使用个人数据。
然而,目前的语言引起了开源世界的担忧。虽然文本似乎确实将非商业开源软件排除在其范围之外,但试图定义“非商业”的含义并不是一件容易的事。正如 GitHub 政策主管 Mike Linksvayer 上个月在一篇博客文章中指出的那样,开发人员经常“在各种付费和无付费环境中创建和维护开源”,其中可能包括企业、政府、非营利组织、学术机构等。
“非营利组织提供付费咨询服务作为对其开源软件的技术支持,”Linksvayer 写道。 “而且越来越多的开发商获得赞助、赠款和其他形式的财务支持,以支持他们的努力。这些细微差别需要对开源进行不同的豁免。”
所以说真的,这一切都归结为语言——澄清开源软件开发人员不会对使用特定组件的下游产品的任何安全失误负责。
“网络弹性法案可以通过关注成品来改进,”Linksvayer 补充道。 “如果开源软件不作为付费或货币化产品提供,则应予以豁免。”
“寒蝉效应”
欧洲越来越多的拟议法规引起了整个技术领域的担忧,开源软件是一个反复出现的主题。事实上,围绕 CRA 的问题有点让人想起欧盟即将出台的人工智能法案所面临的问题,该法案旨在根据感知到的风险来管理人工智能应用程序。 GitHub 首席执行官Thomas Dohmke 最近认为,开源软件开发人员在该立法生效后应免于该立法的范围,因为它可能会给通用人工智能系统 (GPAI) 带来沉重的法律责任,并赋予资金雄厚的大公司更大的权力科技公司。
至于《网络弹性法案》,来自开源软件社区的信息非常明确——他们觉得自己的声音没有被听到,如果不对拟议的立法进行修改,那么它可能会产生重大的长期影响。
“我们的声音和专业知识应该被听到,并有机会为公共当局的决定提供信息,”信中写道。 “如果 CRA 实际上按照书面规定实施,它将对作为全球努力的开源软件开发产生寒蝉效应,其最终影响是破坏欧盟自己表达的创新、数字主权和未来繁荣的目标。 ”
完整的签署方名单包括: Eclipse 基金会;欧洲 Linux 基金会;开源计划 (OSI);欧洲开放论坛 (OFE); Associaçāo de Empresas de Software Open Source Portuguesas (ESOP); CNLL;文档基金会(TDF);欧洲开源软件商业协会 (APELL); COSS——芬兰开放系统和解决方案中心;开源商业联盟 (OSBA);开放系统和解决方案 (COSS); OW2 和软件遗产基金会。