Мнение Мы все можем согласиться с тем, что защита нашего программного обеспечения — это хорошо. Благодаря одному фиаско безопасности за другим — атаке на цепочку поставок программного обеспечения SolarWinds, постоянной уязвимости Log4j и неправильному коду протеста сопровождающего npm — мы знаем, что должны защитить наш код. Но предложенный Европейским Союзом Закон о киберустойчивости (CRA) заходит слишком далеко в попытках регулировать безопасность программного обеспечения.
На верхнем уровне это выглядит хорошо. Брюссель заявляет, что, прежде чем «продукты с цифровыми элементами» будут разрешены на рынке ЕС, производители должны следовать передовой практике в четырех областях. Обеспечьте безопасность продукта на протяжении всего срока его службы; следовать согласованной системе кибербезопасности; показать прозрачность кибербезопасности; и убедитесь, что клиенты могут безопасно использовать продукты.
Звучит здорово, не так ли? Но благими намерениями вымощена дорога в ад. Дьявол, как всегда, кроется в деталях. Некоторые из них не имеют ничего общего с программным обеспечением с открытым исходным кодом. Удачи в создании любой программы, которую невежественный пользователь не сможет испортить.
Но комиссары ЕС понятия не имеют, как работает программное обеспечение с открытым исходным кодом. Или, если честно, что это такое. Они думают, что открытый исходный код — это то же самое, что проприетарное программное обеспечение, за которым стоит одна компания, которая отвечает за работу, а затем монетизирует ее. Неа.
Открытый исходный код, как я уже неоднократно говорил, — это не бизнес-модель. Конечно, на этом можно построить бизнес. Кто не в эти дни? Но точно так же, как AWS, Google и Facebook мира зависят от программного обеспечения с открытым исходным кодом, они также используют программы, написанные Томом, Дениз и Гарри со всего мира.
Основное предположение CRA заключается в том, что вы можете просто добавить безопасности к программному обеспечению, например, добавить новый вариант цвета к покраске вашего автомобиля. Мы желаем!
Защита программного обеспечения — долгий и болезненный процесс. Многие разработчики с открытым исходным кодом не имеют ни доходов, ни ресурсов для обеспечения соответствия своих программ государственному стандарту. Умозрительный разработчик открытого исходного кода в Небраске, неблагодарно поддерживающий жизненно важную маленькую программу, может даже не знать, где находится Брюссель (он находится в Бельгии). Они не могут позволить себе обеспечить соответствие своего программного обеспечения спецификациям ЕС. У них часто нет дохода. Они, конечно, не имеют никакого контроля над тем, кто использует их программное обеспечение. Это с открытым исходным кодом, помилуйте!
Как недавно написал в блоге разработчик с открытым исходным кодом Томас Депьер: «Мы не поставщики. Все люди, пишущие и поддерживающие эти проекты, мы не поставщики. У нас нет деловых отношений со всеми этими организациями. онлайн в соответствии с этими Лицензиями». Точно.
Габриэле Коломбро, генеральный директор Linux Foundation Europe, затронул эти проблемы в своем программном выступлении на KubeCon CloudNativeCon Europe 2023. Columbro призвал сообщество открытого исходного кода активно помогать в доработке CRA, чтобы лучше защищать свои интересы. «Нынешняя форма CRA может фрагментировать открытый исходный код и поставить разработчиков под угрозу», — сказал он.
Как? OpenForum Europe (OFE) Eclipse Foundation, Open Source Initiative (OSI), APELL, CNLL и OSB Alliance заявили в своем письме в ЕС: «Нынешняя формулировка CRA противоречит почти любой модели разработки программного обеспечения, кроме случай одной компании, разрабатывающей всю кодовую базу за закрытыми дверями и выпускающей периодические релизы». А кто занимается в эти дни? Apple может быть, но больше никто не приходит на ум.
Все остальные, включая разработчиков с открытым исходным кодом, от нашего парня из Небраски до кого-то, работающего в некоммерческой организации OpenSSF, и до разработчика IBM, потенциально уязвимы. OSI небезосновательно обеспокоен тем, что, если закон явно не исключает разработчиков, чья деятельность не связана с развертыванием коммерческого программного обеспечения, CRA «может ограничить или даже предотвратить доступность программного обеспечения с открытым исходным кодом, поддерживаемого по всему миру, в Европе».
Кроме того, GitHub указал, что некоторые другие требования CRA категорически недостижимы. «Приложение I требует поставки «без каких-либо известных уязвимостей, которые можно использовать», но это может привести к недостижимой цели, поскольку производители регулярно узнают о новых уязвимостях и проводят оценку рисков с учетом необходимости определения приоритетов исправлений для своевременной доставки обновлений продукта».
Насколько это плохо? Саймон Фиппс, известный консультант по открытым исходным кодам, предполагает, что, чтобы защитить себя, разработчики «могут решить установить геоблоки и не доставлять свою работу на европейские IP-адреса». Звучит безумно? Он далеко не единственный. Ни один разработчик с открытым исходным кодом не хочет иметь дело с вопросами международной ответственности. Черт, кто это делает!?
Как отмечает Python Software Foundation: «Многие современные компании-разработчики программного обеспечения полагаются на программное обеспечение с открытым исходным кодом из общедоступных репозиториев, не уведомляя об этом автора и, конечно же, не вступая с ним в какие-либо коммерческие или договорные отношения. авторы компонентов с открытым исходным кодом могут нести юридическую и финансовую ответственность за то, как их компоненты применяются в чьем-либо коммерческом продукте».
Дело не в том, что ЕС хочет навредить сообществу разработчиков открытого исходного кода. Это не так. Это то, что он не знает ничего лучшего. Так много участников сообщества открытого исходного кода призывают людей принять участие в этом обсуждении, связавшись с Linux Foundation Europe или присоединившись к каналу LF Europe CRA Discord Server. Мы должны их воспитывать. Если нет, мы можем столкнуться с ужасным юридическим беспорядком, который будет препятствовать развитию открытого исходного кода на долгие годы. ®
