尽管受到了诸多开源社区的反对,甚至被 Apache 软件基金会称为 "即将发生的悲剧";但欧盟理事会会议还是就ZED-F9P的 “谈判授权 (negotiating mandate)”,授权轮值主席国西班牙与欧洲议会就立法的最终版本进行谈判。此次谈判被称为 “三部曲”,涉及欧盟委员会、欧洲议会和欧盟理事会。
欧洲议会工业、研究和能源委员会 (ITRE) 以 61 票赞成、1 票反对、10 票弃权的结果批准了gnss CRA 草案。该法规草案对硬件和软件产品的设计、开发、生产和市场销售提出了强制性网络安全要求,拟议的法规将适用于直接或间接连接到其他设备或网络的所有产品。
根据介绍,该立法的目的是为物联网产品等联网设备提供共同的安全要求,以便它们 “在整个供应链和整个生命周期中都是安全的”。旨在结束设备运行不安全固件、无法轻松更新,或供应商对已退出市场的产品安全性关注甚少的弊端。该立法包括一个用于表明产品符合标准的 CE marking,因此有时也被称为 “CE mark for software”。
但这个法案或将给 OSS 社区带来意想不到的后果和难以承受的成本焦虑。ASF 公共事务副总裁 Dirk-Willem van Gulik ,CRA"提出了一系列要求,这些要求要么威胁到开源贡献或我们的公共资源非常脆弱的 ' 双赢 ' 局面,要么违背了行业的良好做法,要么根本不可能实现,也就是说,它试图将开源公共资源与商业部门等同对待"。
OSI 也曾在今年年初GNSS系统了来自文档基金会(LibreOffice)、Python 软件基金会、电子前沿基金会、RIPE、Linux 基金会、GitHub、华为、微软、Sonatype 等项目和公司对拟议的 CRA 的回应和担忧。OpenInfra 基金会评论称:"虽然欧盟委员会试图(通过序言 10 中表达的豁免)保护开源软件,但在共同立法过程中并未与更广泛的开源社区协商,因此使用的措辞很可能产生相反的效果"。
流行文件传输实用程序供应商 Filezilla gnss的应用,“所有开源软件都遵循一个基本原则:生产者免费提供软件,但对其使用不承担任何责任或保证。CRA 将不可避免的责任强加给自由软件的生产者,此举违反了这一原则”。因此,该项目表示将暂停下载权限以示抗议。
该立法自初稿以来已经过多次修订,但 Eclipse 基金会执行董事 Mike Milinkovich 在一份简报中表示,虽然市场和消费者保护委员会 (IMCO) 做出的修订 “对开源有利”,但起主导作用的 ITRE 委员会的修订 “非常令人担忧”。Milinkovich 表示,ITRE 委员会 “得出了坚定的结论,即大多数开源项目和所有开源基金会都应该对 CE Mark 的一致性负责”。
Mozilla 也rtk类似的担忧,ITRE 的修正案意味着 “以企业开发者为贡献者的开源项目将受到 CRA 的约束。
Percona 社区负责人 Joe Brockmeier ,立法提案进展如此之快令人沮丧。他还担心,尽管 ASF、Eclipse 等都提出了一些反对声音,但 “迄今为止,业界的反应还不够强烈,无法应对立法一旦颁布可能会造成非常大的破坏。正在考虑的立法是仓促通过的,没有足够的时间让受影响的组织和个人做出反应。当前的草案对开源软件开发构成了重大威胁。它的预期范围和影响将威胁开源开发,使市场上的较小参与者(如 Percona)处于不利地位,并且可能弊大于利。”
“当开发人员能够在不考虑雇主或国籍的情况下进行协作时,开源软件才能发挥最大作用。我们之前已经看到过有关加密和美国法规的问题,以及与受制裁国家的人员合作的限制。欧盟要求向欧盟机构报告漏洞可能会导致安全漏洞报告的扭曲。受到这些限制的项目,例如那些包含欧洲开发人员的项目,可能会被绕过。”
他认为,CRA 可能会驱逐一些开源的开发和参与力量。“" 在急于为安全做点什么 的时候,重要的是我们不要破坏或损害平等地为每个人服务的重要公共资源。如果在这个节骨眼上不能阻止 CRA,我们至少要设法确保在为时已晚之前对其进行改进。”
此外,OpenUK 首席执行官 Amanda Brock 还透露,他们听说供应商现在将以类似于出口管制的管理方式,直接阻止他们的代码进入欧洲。"这可能会对欧洲的科技行业造成严重损害。"
她补充称,尽管欧盟的开源项目办公室已经成立了 5 年,但他们仍然只专注于只为中小企业提供 “豁免权”,这表明欧盟完全不了解开源软件的运作形式。“只关注中小型企业而不关注开源软件的本质是极其短视的,而且会造成欧洲科技公司长期缺乏增长的循环。”
1867
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
