技术文章

欧洲联盟(欧盟)成员国代表昨天就拟议的 《网络复原法》 .

去年,CRA的提案收到了一系列公开评论意见,从对其目标的普遍赞扬到制定更好的软件安全标准,再到对其对开放源码项目的隐含赔偿责任的尖锐批评,以及界定开放源码的商业和非商业用途的含糊语言。

由于开放源代码软件占现代应用程序的90%,因此,针对开放源代码开发者和维护者的法律语言之外的错误惩罚可能会阻碍创新和我们所知的软件开发。

早期预警

虽然改善网络安全和网络复原力的意图是一个令人钦佩和可取的目标,但关于软件开发的一个重要组成部分的法律含糊不清,可能会产生有害的意外后果。索纳泰克的首席技术官布莱恩·福克斯把这个说出来了 在去年12月的一篇博文上 ,指出:

"如果同时从开发或分销开源中获得商业利益的开源生产商和分销商突然对公共存储库中的每一个缺陷和弱点承担责任,唯一合乎逻辑的结论是开源的分割。"

随着多个欧盟理事机构讨论、辩论和修订去年的CRA草案,该法律的措辞引起了开源组织越来越多的关注,这些组织发表了 四月的一封公开信 这表示了对这项法律对开放源码软件开发的潜在"寒流效应"的担忧。

声速型 跟进 为了帮助扩大开源社区日益增长的关注。当时,包括Linux基金会、伊塞克斯基金会、比顿软件基金会在内的许多组织都在发出警报,因为开源软件有可能被纳入CRA规定的商业标准。

正确问题的错误解决方案

CRA有良好的意图。所有的软件在默认情况下都应该是安全的,并进行设计.这些原则在 国家网络安全战略 ,CRA,以及许多其他国家改进软件安全的方法的迭代。不过,作为超音速 2022年12月得到强调 ""似乎有意遗漏对开放源代码的豁免,将给开放源代码基础和维护者带来不应有的负担,不仅对欧盟的创新和安全,而且对全球协作构成严重风险。"

作为 研究支助 几乎 所有易受攻击的开源组件的96% 下载有一个修复可用。相反,它是开放源代码软件的消费,更具体地说,是开放源代码软件的消费者做出的错误决定,这导致了软件安全和供应链风险。开源是一种公共利益,主要由时间的贡献和通过自由软件使世界变得更美好的几乎理想化的推动所推动。然而,CRA以这种善意为目标,惩罚那些资源最少的人,惩罚那些资源最多的人做出的糟糕决策。

开源的未来

那么,世界邮报CRA的未来会是什么样的呢?

布莱恩福克斯总结了这一点 本周早些时候 条例通过前: 

"这种情况不仅破坏了开放源码的精神,而且可能导致开放源码的危机,并将欧盟与世界其他地区隔离开来。非欧盟开放源代码生产商将会避开欧盟市场,这意味着无法进入Linux、阿帕奇、库伯内特斯和许多其他项目。像马文中心,国家预防机制和PypI这样的存储库可能会被鼓励禁止欧盟的消费,以避免被认为是经销商。欧盟关注责任的项目可能会将其源代码从互联网上删除,而欧盟企业可能会被迫停止对开放源代码项目的捐款。"

CRA最有可能的结果将是开放源代码贡献者和项目简单的走开。较大的软件制造商将增加成本,而较小的公司将无法竞争。不管怎样,重大的破坏和混乱是不可避免的.虽然这可能不是,也可能不是意图,但它似乎是最有可能的结果。

接下来我们要去哪里?

首先,尽可能多地了解CRA对开源的影响。为了提前开始,我们建议这些资源:

• 日食演示(视频): 欧洲网络复原力法案的最新情况

• 阿帕舍.org(博客): 拯救开源:即将来临的《网络复原力法案》悲剧

• (博客): 没有开放源码可持续性,就没有网络复原力

我们还建议你看看 数码共享的悲剧 由钦梅伊夏尔马写的。本文通过对政府如何将重点转向软件制造商责任的共同回顾,回顾了商业软件制造商的漫长历史。

最后,随着CRA的进一步发展,索纳泰克认为,了解监管的基本原理是很重要的,因为在当今的软件驱动世界,尤其是在欧盟开放源码软件的未来,监管可能会产生很长的影响。下面我们概述了CRA的批准状态。

概况介绍:CRA

CRA是欧洲联盟委员会提出的一项网络安全条例,旨在通过对含有数字元素的产品实行共同的网络安全标准,增强欧盟的网络安全和网络复原力。

欧洲联盟委员会于2022年9月n15日首次提出了这项法律草案,并将其作为欧洲议会和欧洲理事会横向网络安全要求的条例。

CRA的目的是什么?

CRA打算通过提高产品开发和交付所依据的标准来消除影响具有数字元素的产品的威胁。

欧洲委员会指出,CRA的两个主要目标如下:

• 通过确保硬件和软件产品能够以较少的脆弱性进入市场,并确保制造商在整个产品生命周期中认真对待安全问题,为开发具有数字元素的安全产品创造条件。

• 创造条件,使用户在选择和使用带有数字元素的产品时能够考虑到网络安全。

CRA的要求将是强制性的,同时也是对现有欧洲网络安全规则的补充,以期加强 软件供应链 .

谁属于CRA的管辖范围?

CRA适用于在欧盟开发或销售的任何商业软件产品,但"在非商业环境中开发的"产品除外。"例如,在开放源码软件的情况下,"如果自由和开放源码软件是由一个组织或一个不对称的社区开发的,如果一个组织通过业务关系中的相关用途产生收入,则应将其视为一项商业活动。" 

在欧盟市场销售的任何数码元素产品的制造商将需要遵守《注册条例》的强制性规定。由于这些制造商在每个产品的整个生命周期内仍然负责网络安全,他们将需要报告任何积极利用的漏洞或事件。

一旦采用CRA,制造商将有两年的时间来适应条例的要求。然而,关于报告被积极利用的脆弱性或事件的规定在一年后生效。

欧洲议会何时对CRA进行投票?

本月,欧洲理事会和欧盟委员会等政治团体举行了对《民事诉讼法》拟议修改的最后讨论。2023年7月nt19日,欧洲议会的工业、研究和能源委员会 投票通过 中央情报局的规定。

在这次投票和欧盟理事机构之间达成协议之后,据报西班牙主席团将与欧洲议会就立法的最后版本进行谈判。

对CRA的进一步修订是什么?

根据 概况介绍 欧洲联盟委员会打算于2022年9月n定期审查《民事诉讼法》,并报告关于其执行和职能的调查结果。