付费为爱发电?欧盟 CRA 法案或将破坏开源生态!
出品|开源中国
去年 9 月,欧盟提出了一项网络弹性法案(CRA) ,目标是 “加强网络安全规则,以提供更安全的硬件和软件产品”。但该法案随即引起了公众的批评,因为它可能会对开源生态产生严重的影响。
这个法案可以理解为软件产品的 CE (欧盟认证)标准,有四个具体目标:
要求软件制造商提高 “全生命周期” 数字元素产品的安全性
提供一个 “一致的网络安全框架” 来衡量软件的安全合规性
提高软 / 硬件产品的 “数字元素” 的安全属性透明度
让客户可以 “放心使用带有数字元素的产品”
总而言之,这是一套新的欧盟软件安全认证规定。对于软件开发商和硬件制造商,它将增加新的网络安全要求、合格评定费、合格认证文件和报告义务等直接合规成本。当然,这些成本毫无意外地会转嫁到消费端,法案中如此描述:
这些额外成本是合规总成本的一部分,包括对企业和公共政务的负担,估计为 290 亿欧元(315.4 亿美元),随之而来的是消费者侧的软件价格将会上涨。
但每年在网络安全事件中受到的损失将减少 180 至 2900 亿欧元。
但对于大部分为爱发电的开源软件作者来说,这无疑是一项疯狂的规定,数年如一日的辛苦付出没有回报也就算了,还要自掏腰包来进行认定?该法案公布之后, 一些开源社区的领导人对其作出了严厉的评价,并提供了大量的意见反馈。
开源倡议组织?OSI 标准主管 Simon Phipps 亦提出了批评,认为该立法 “可能会损害开源”,因为其关于开源软件部分的文本描述含糊不清,且 “立法者完全不了解开源社区的实际运作方式”。目前 OSI 已向欧盟委员会提交了反馈,要求 “就法案正文要求的开源例外情况开展进一步工作”,希望 “任何不直接从软件商业化部署中受益的参与者” 都可以免除合规责任。
Eclipse 基金会主任 Mike Milinkovich 认为: CRA 法案可能会从根本上改变整个开源生态系统的运转方式。现在大部分开源软件都是免费提供,可用于任何目的,且可以修改和进一步分发,但原作者、贡献者或分销商不提供任何保证或承担任何责任。如果通过立法的方式强制改变这种生态,可能会对欧洲的创新经济造成意想不到的后果。
此外,Milinkovich 还指出,CRA 会限制未完成开发的软件,未完全开发的软件只能用于测试用途,这又是一项对现有开源生态具有强烈破坏性的规定。在开源社区中,使用临时构建的软件版本是很常见的行为,且现有的开源许可证也不会限制软件的用途。
互联网协会执行顾问 Olaf Kolkman 也表达了担忧,他表示 “应该修改法规,以明确在开源许可证下生产,并在非营利基础上分发的软件不在该法规范围内”。
目前欧盟委员会还在针对公众的意见不断修改这份法案,最新的修订时间是 23 年 1 月 30 日。如果处理不当,该法规可能会导致欧盟地区无法访问 Central、npm、PyPi 等常用的库系统,这对于欧盟和整个开源生态系统都将是灾难性的打击。
CRA 法案下载地址:https://ec.europa.eu/newsroom/dae/redirection/document/89543
- 发表于:
- 原文链接:https://kuaibao.qq.com/s/20230210A02DLK00?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
