Python Software Foundation (PSF) обеспокоен тем, что предлагаемые законы ЕС о кибербезопасности возлагают на организации с открытым исходным кодом и отдельных лиц несправедливую ответственность за распространение неправильного кода.
«Если предлагаемый закон будет применяться в том виде, в каком он написан в настоящее время, авторы компонентов с открытым исходным кодом могут нести юридическую и финансовую ответственность за то, как их компоненты применяются в чужом коммерческом продукте», — говорится в заявлении PSF, опубликованном во вторник исполнительным директором. Деб Николсон.
«Существующая формулировка не делает различия между независимыми авторами, которым никогда не платили за поставку программного обеспечения, и корпоративными технологическими гигантами, продающими продукты в обмен на платежи от конечных пользователей».
Существующая формулировка не делает различий между независимыми авторами, которым никогда не платили за поставку программного обеспечения, и корпоративными технологическими гигантами, продающими продукты.
В прошлом году европейские законодатели представили два законодательных акта, касающихся безопасности программного обеспечения и ответственности. И с тех пор техническое сообщество высказывается против широко сформулированных правил.
Закон о киберустойчивости направлен на обеспечение безопасности цифровых продуктов, требуя от производителей продуктов проверять безопасность продуктов, внедрять процедуры снижения уязвимостей и раскрывать информацию о безопасности клиентам. Период общественного обсуждения завершился в ноябре, а период общественных консультаций по закону завершился 25 мая.
Максимальные штрафы по закону могут достигать 15 миллионов евро или до 2,5 процентов от годового оборота, в зависимости от того, что больше. CRA еще не принят Европейским парламентом и Советом.
Закон об ответственности за качество продукции обновляет европейские правила ответственности за качество продукции, включая, среди прочего, изменения цифровых продуктов, возникающие в результате обновлений программного обеспечения. Это позволяет потребителям требовать возмещения убытков, если они пострадали от продуктов, которые стали небезопасными из-за изменений программного обеспечения.
PSF и другие организации, в том числе Eclipse Foundation и NLnet Labs, призывают законодателей ЕС разъяснить широкие формулировки в предлагаемом законе, чтобы организации с открытым исходным кодом и разработчики не несли ответственности за недостатки в коммерческих продуктах, которые включают их код.
«Согласно текущей формулировке, PSF потенциально может нести финансовую ответственность за любой продукт, который включает код Python, при этом никогда не получая никакой денежной выгоды ни от одного из этих продуктов», — заявили в PSF, добавив, что такой риск сделает невозможным для фонда продолжать предоставлять Python и PyPI (индекс пакетов Python) в Европе.
Некоммерческая организация, которая наблюдает за языком программирования Python и поддерживает его во всем мире, утверждает, что возложение на разработчиков с открытым исходным кодом ответственности за вклад в код отпугнет участников проектов с открытым исходным кодом. Он цитирует два конкретных отрывка как чрезмерно широкие.
Во-первых, это статья 16, которая гласит: «Физическое или юридическое лицо, кроме производителя, импортера или дистрибьютора, которое осуществляет существенную модификацию продукта с использованием цифровых элементов, считается производителем для целей настоящего Регламента. “
Это определение можно интерпретировать как означающее, что любой, кто внес существенные изменения в проект с открытым исходным кодом, будет нести ответственность за последствия этого изменения.
Второй — это отрывок, который исключает «бесплатное программное обеспечение с открытым исходным кодом, разработанное или поставляемое вне рамок коммерческой деятельности», но определяет «коммерческую деятельность» как «предоставление программной платформы, с помощью которой производитель монетизирует другие услуги». применимы к таким организациям, как PSF, которые предлагают какие-либо платные продукты или услуги, такие как футболки, билеты на мероприятия или курсы кодирования.
PSF утверждает, что законодатели ЕС должны предоставить четкие исключения для общедоступных репозиториев программного обеспечения, которые служат общественному благу, а также для организаций и разработчиков, размещающих пакеты в общедоступных репозиториях.
«Нам нужно, чтобы было предельно ясно, кто несет ответственность как за гарантии, так и за ответственность, которых заслуживают потребители программного обеспечения», — заключает PSF.
PSF просит всех, кто разделяет ее опасения, передать это мнение соответствующему члену парламента ЕС до 26 апреля, пока рассматриваются поправки, направленные на защиту программного обеспечения с открытым исходным кодом.
Об этом заявил Брэдли Кун, научный сотрудник организации Software Freedom Conservancy. Регистр что сообществу свободного и открытого исходного кода (FOSS) следует тщательно продумать объем испрашиваемых исключений.
«Я обеспокоен тем, что многие в FOSS попадают в ловушку, которую коммерческие компании пытаются расставить для нас по этому вопросу», — сказал он. «Хотя на первый взгляд кажется, что полное исключение для FOSS было бы хорошо для FOSS, на самом деле это попытка компаний заставить сообщество FOSS помочь им избежать своих обычных обязательств по продукту. Для получения прибыли компании, внедряющие FOSS, должны несут те же обязательства по обеспечению безопасности и надежности для своих пользователей, что и компании, занимающиеся несвободным программным обеспечением». ®
