A nyílt forráskódú közösség vezetői szerint súlyos és nem kívánt következményekkel járhat az ilyen szoftverekre nézve az Európai Unió által javasolt kiberreziliencia-törvény (Cyber ​​Resilience Act, CRA) – számol be róla hét eleji összeállításában a DevClass. A fejlesztői híroldal a tavaly ősszel közzétett szabályozástervezet kapcsán felidézi, hogy annak négy konkrét célkitűzése van ebben a vonatkozásban. Megkövetelné a gyártóktól, hogy a digitális elemeket tartalmazó termékek teljes életciklusára vonatkozóan javítsanak azok biztonságán, kitűzi a mérhető megfelelést lehetővé tevő, koherens kiberbiztonsági keretrendszer felállítását, ezzel összefüggésben javítaná az egyes termékek digitális biztonságának átláthatóságát, végül pedig lehetővé tenné az ügyfelek számára is, hogy a hatálya alá tartozó eszközöket biztonságosabban használhassák.

A CRA tehát "a kiberbiztonsági szabályok megerősítésére irányul a biztonságosabb hardver- és szoftvertermékek biztosítása érdekében", ami a lap meghatározása alapján a szoftvertermékek CE-jelöléseként is leírható. Ez utóbbi az Európai Gazdasági Térségben (EGT) évtizedek óta kötelező megfelelőségi jelölés bizonyos értékesített termék esetében, jelezve a vonatkozó előírások teljesítését és azt, hogy az áru szabadon forgalmazható az EGT belső piacán. A most felvetett probléma a tervezetben megjelenő hatásvizsgálattal lenne, amely annak indoklása szerint is növeli az új követelményekkel, a megfelelőségértékeléssel, a dokumentációval és a jelentéstételi kötelezettségekkel összefüggő költségeket.

Nem számoltak a járulékos veszteséggel

Az uniós becslés szerint a vállalkozásokra és a hatóságokra 29 milliárd eurónyi többletteher hárulna, ebből következően pedig a fogyasztói árak növekedésére is számítani lehetne, a jogalkotók azonban évi 180–290 milliárd euróra becsülik mindazoknak a költségeknek a csökkenését, amelyek az egyre szaporodó és egyre súlyosabb következményekkel járó biztonsági incidensekből fakadnak. A cikkben megszólalók ugyanakkor nem látják, hogyan engedhetnék meg maguknak az ingyenes szoftverek fejlesztői a megfelelés költségeit, amikor sok projektnél a finanszírozás hiánya már anélkül is kritikus problémának számít. A nonprofit Eclipse Foundation igazgatója szerint például a nyílt forrású ökoszisztéma alapjai kerülnének veszélybe, vagyis az ingyenes, szabadon használható, módosítható és terjeszthető programok a szerzők és terjesztők garanciális felelőssége nélkül.

A szervezet álláspontja alapján a CRA korlátozná a "be nem fejezett" szoftverek elérhetőségét a teszteléstől eltérő célokra, miközben az átmeneti buildek és intenzív fejlesztés alatt álló programok használata gyakori a nyílt forráskódú közösségben, ahol a licencek jelenleg nem korlátozódnak a tesztelésre. A DevClass összeállításából kiderül, hogy az Open Source Initiative (OSI) már benyújtotta visszajelzését az Európai Bizottsághoz, amelyben változtatásokat és kivételeket kért, gondolva itt elsősorban az olyan szereplőkre, akik nem közvetlen kereskedelmi haszonélvezői a telepítéseknek. A probléma összetettsége egyébként abból is fakad, hogy a piaci termékek digitális elemeiben is mindennapos a nyílt forráskód használata, és teljes adattárak válhatnának elérhetetlenné, ami katasztrofális lenne az európai innovációs gazdaságra nézve.

Részletek a DevClass oldalán »