Евросоюз собирается принять закон под названием Cyber Resilience Act (CRA), предлагаемое которым регулирование - существенная угроза будущему индустрии пограмм с открытым исходным кодом (Open Source). Хотя намерения самые благие - улучшить кибербезопасность - что очень хорошо, в текущей форме отсутствют чёткие исключения ответственности для многих держателей и разработчиков программного обеспечения с открытым исходным кодом - что может стать смертельным приговором для open source в Евросоюзе и будет иметь глобальные последствия. Закон CRA был предложен 15 сентября 2022 года Еврокомиссией. Целью было улучшение кибербезопасности с помощью общих стандартов кибербезопасности для всех продуктов с цифровыми элементами. В теории закон замечательный. Но есть несколько областей, которые беспокоят разработчиков open source и организации этой отрасли.
Современные приложения на 90% состоят из открытого свободного кода; ущемление разработчиов open source привело бы к фрагментации сообщества и создало бы препятствия для проектов во множестве секторов, включая критическую инфраструктуру, здравоохранение и вооружённые силы.
Выглядящий преднамеренным отказ от исключений ответственности для открытого исходного кода наложил бы чрезмерную ответственность на фонды, спонсирующие open source и держателей репозиториев, а также представляет серьезную угрозу не только для безопасности и инноваций в ЕС, но и для глобального сотрудничества в этой области. Это то о чём мы и многие другие представители индустрии пытались предупредить уже шесть месяцев. Увы, Евросоюз остался глух к голосу индустрии. Возлагание ответственности за инциденты с безопасностью на разработчиков open source, чей софт оказывается составной частью коммерческого продукта приведет к замедлению инноваций и нанесет ущерб экономике ЕС - без каких-либо серьезных улучшений в области безопасности.
Голосование за постановку на голосование законопроекта назначено на 19 июля в комиссии парламента по промышленности, технологиям, исследованиям и энергии (Industry, Research and Energy / ITRE). И если ничего не сделать - закон будет принят даже без голосования на пленарной сессии самого парламента. Я уверен что если сообщество open source не выступит сейчас, законопроект станет законом, и сообщество open source в нынешнем виде прекратит своё существование.
В предлагаемом законе Cyber Resilience Act две основные проблемы: он препятствует коммерческой поддержке open source и ставит под угрозу раскрытие найденных уязвимостей.
CRA препятствует коммерческой поддерже open source
Закон в новой редакции предлагает новые требования к кибербезопасности программных и "железных" продуктов, во многом повторяя "Национальную стратегию кибербезопасности" США. Он призывает поставщиков и производителей программного обеспечения чётко понимать - какие именно компоненты составляют их программы и отзывать программное обеспечение, подверженное уязвимости. Но, в отличие от недавно опубликованной в подробностях стратегии США, закон пытается оторвать определенные open source продукты от фондов и крупных компаний. Тем самым закон потенциально влияет на любой open source проект, что созаёт целую сеть последствий.
Не надо упоминать, что проекты с открытым исходным кодом сильно полагаются на добровольцев, индивидуальных жертвователей и маленькие команды, которые часто работают без существенных ресурсов или финансовой поддержки. Поддержка, которую индивидуальные программисты и фонды получают, часто исходит от коммерческих компаний, которые имеют адекватные ресурсы, чтобы дать разработчикам возможность поработать на благо общества.
Текущая редакция CRA исключает только программные продукты с исходным кодом, которые не имеют вокруг них никакой коммерческой активности. К сожалению, закон определяет коммерческую активность следующим образом:
> если основной вклад в разработку проекта с открытым исходным кодом внесли разрабочики, трудоустроенные в коммерческих компаниях и когда такие разработчики или их работодатели могут получить контроль над тем, какие изменения принимаются в кодовую базу, проект должен считаться имеющим коммерческую природу.
Можно это воcпринимать так: если основной вклад внёс не безработный программист, то проект коммерческий. Не поясняется каким было изначальное намерение; возможно, имеелось в виду получение контроля над кодовой базой работодателем.
Кроме того, говорится:
"Принятие пожертвований без намерения извлечь прибыль не должно считаться коммерческой активностью, не считая случаев когда пожертвования сделаны коммерческой компанией и регулярны по своей природе".
Первая часть приемлема, но регулярные пожертвования от коммерческих компаний являются преимуществом при написании open source. Сказанное в законе может заставить проекты с открытым кодом отказаться от больших пожертвований от коммерческих компаний, чтобы избежать "заражения" коммерциализацией и, возможно, заставит коммерческие компании запретить своим сотрудникам добавлять что-либо в open source проекты и даже полностью отказаться от дальнейшей поддержки таких проектов.
Более того, если CRA примут без должных исключений, такие разработчики могут столкнуться с судебным риском и ответственностью уязвимости, найденные в коммерческих продуктах. У разработчиков open source нет возможности увидеть - как именно и в каких случаях используется их продукт; только конечный производитель это знает.
Потенциальный судебный риск и отсутсвие пожертвований могут отвратить разработчиков от дальнейшего развития и даже поддержки их проектов. Такая ситуация не только подорвёт дух open source, но и может привести к кризису, к изоляции ЕС от остального мира. Производители OSS вне Евросоюза станут избегать рынка ЕС, что значит прекращение доступа ЕС к Linux, Apache, Kubernetes и многим другим проектам. Репозитории вроде Maven Central, npm и PyPi могут запретить скачивание для ЕС из опасений что их сочтут распространителями [софта с уязвимостями]. Проекты из ЕС, озабоченные возможной ответственностью могут убрать свой исходный код из Интернета, а компании в ЕС могут заставить прекратить спонсорство open source.
CRA ставит под угрозу раскрытие найденных уязвимостей
Закон также требует раскрытия найденных уязвимостей для Агентства по кибербезопасности Евросоюза (ENISA) в течение часов после обнаружения, вне зависимости имеется ли уже заплатка для этой уязвимости или её еще нет. Эти меры могут сильно затруднить координированное раскрытие информации об уязвимостях - когда исследователи дают производителям время для разработки пачтей закрытия уязвимостей, еще до того как об уязвимости объявлено публично. Это увеличит шансы злоумышленников разработать эксплойт до того как уязвимость будет закрыта, подставляя под риск взлома каждую компанию, пользующуюся уязвимым софтом. Это будет неудачный исход событий для закона, который должен бы был улучшить кибербезопасность.
Что мы можем сделать?
Как я упоминал ранее, время критично, так как закон движется быстро и будет проголосован комитетом на этой неделе. Мы, как сообщество, должны действовать немедленно. Github и другие представители индустрии должны выступить с публичной оппозицией законопроекту. Разрабочики из ЕС, держатели репозиториев и прочие должны обратиться к своим депутатам в Европарламенте для дальнейшего расследования и озвучивания позиции сообщества open source на слушаниях.
Законотворцам необходимо понимать важность совместной работы и роль глобального сообщества разработчиков в продвижении иноваций из open source. Проекты с открытым программным кодом поддерживают большинство того софта которым мы пользуемя каждый день. Это кровь интернета. Закон, который мешает жертвователям помешает способности сообщества open source поддерживать существующие проекты и доставлять новый софт, ударит по технологической индустрии, повредит экономике ЕС и ухудшит безопасность проргаммного обеспечения в целом.
Комментарии
Молодцы. К общему кризису ЕС - добавится ещё и кризис ИТ...
у "палки два конца", безопасность и ограничение.
Язык - любой возникает (создаётся) для передачи понятий. Даже языки программирования.
Понятия множатся, развиваются и совершенствуются вместе с языком. Программа как язык создания систем не исключение.
И вот эти твари безмозглые хотят присвоить себе право управления развитием языка систем и развитием систем в конечном итоге?
Да сгниют их тухлые мозги от перегрузки пивом!
Всё просто: Запад считает, что имеет решающее преимущество в области разработки ПО.
Поэтому ставит твердые границы на пути свободной миграции идей и мелких сущностей типа питоновских библиотек, которые сейчас пишут все, кому не лень.
Или США топит ЕС.
Топит, но тут есть и другое. Эффект будет именно глобальным. Например, обязанность открывать информацию об эксплойте мгновенно реально даёт возможность запустить атаку до выхода и установке обновлений.
И вот не пофиг ли русскому, у которого стоИт Линукс на каком-то важном месте, что инфа была раскрыта в ЕС? Она ж в ЕС не останется, а Линукс везде Линукс - и в Африке, и в Китае.
Эм, как я понимаю, сейчас ЦРУ получает информацию мгновенно, а все остальные - спустя время. Так что для русского мало что изменится, но у него появляется возможность отреагировать
Нет. Сейчас инфу получают разработчики (то, что ещё и ЦРУ - не так важно, и погодите кипятить говно). Разраюы выпускают обновление, обновление ставится, инфа публикуется.
Да, какое-то время ЦРУ имеет эксплойт. И? ЦРУ не может нанести столько урона, сколько миллион вымогателей. И для рядового русского будет выбор между пиратской виндой, в которой может пошарить ЦРУ (если он, нафиг, ЦРУ нужен) и Линуксом, который будет под атакой кого ни попадя просто ради фана даже.
Рядовой русский и так-то не фанат Линукса... а тут - ну просто нафига ему гемор, если он игрушки гоняет? Нафиг не надо.
А это база инсталляций. А она - определяет кормовую базу разрабов, которых и так-то немного. Нет пользователей - нет разрабов - нет поддержки - нет софта... нет альтернативы винде. Да, чуть в долгую, но цепочка железная и короткая, конец недолог.
Все ваши рассуждения хороши для мирного времени. В военное время будет не до игрушек.
Все мои рассуждения хороши прямо сейчас.
Расскажите мне про нынешнее совершенно мирное время, я хочу знать о нём больше.
Прямо сейчас - это лишь жалкое начало.
Так а что вы про него не знаете? Все спокойно пользуются американским ПО и никто системные атаки на него не устраивает.
То есть, весь диалог и цепочку рассуждений выше Вы забыли...
Перечитал всю цепочку два раза, но так и не понял вашего намека.
О, говна типа питоновских библиотек будет навалом и далее.
Топят именно крупные серьёзные системы, которые сейчас могут (или могли бы) стать РЕАЛЬНОЙ альтернативой американским системам.
ОС, но не Виндовс? Линукс! Верно?
База данных, но не Оракс, не MS SQL? MySQL, Postgress, так?
И т.п. и т.д.
...уничтожение крупных проектов open source приводит мир к абсолютной зависимости от американских поставщиков. У китайцев никаких альтернатив по ряду ключевых элементов нет, только опенсорс (точнее, их альтернативы и живы за счёт опенсорса). Про Россию и не говорю.
Чем вам Пайтон так немил?
? Почему Вы решили, что немил?
Просто масса нугет-пакажей - мусор. И с эти мусором ничего не станется. Ну хорошо, пусть даже эти библиотеки офигенны, пусть. Суть в том, что они маленькие и воспроизвести их (большинство) - вообще не проблема, и ценности у них почти никакой.
...а вот представьте себе, что у страны нет ОС. Вот вообще нет. О, то-то же. И посадить весь мир на винду (даже пиратскую) безальтернативно - это офигенно для производителя. И точно так же по всему списку далее - ОС, сервера, ключевые сервисы...
Соглашусь с вами.
Мелкомягкие — зло.
Последняя винда в хозяйстве была четвёртая энтя (ну ещё полуось одно время :)).
? Почему Вы решили, что немил?
Просто масса нугет-пакажей - мусор. И с эти мусором ничего не станется. Ну хорошо, пусть даже эти библиотеки офигенны, пусть. Суть в том, что они маленькие и воспроизвести их (большинство) - вообще не проблема, и ценности у них почти никакой.
...а вот представьте себе, что у страны нет ОС. Вот вообще нет. О, то-то же. И посадить весь мир на винду (даже пиратскую) безальтернативно - это офигенно для производителя. И точно так же по всему списку далее - ОС, сервера, ключевые сервисы...
каким образом принятый закон в ЕС вдруг уничтожит опенсорсный проект?
Для справки, .net или openjdk это то же опенсорс как бы...
Выше написал.
"уничтожение крупных проектов open source приводит мир к абсолютной зависимости от американских поставщиков"
это вот это что ли? А ничего, что большинство крупнейших open source проектов творение этих самых "американских поставщиков"?
Вы в курсе, кому github принадлежит?
IMHO - рот кое у кого порвётся
Интересно было бы на это посмотреть. Пусть примут без поправок.
Значит Глобалкорпы посчитали, что хватит Open Source на свободе гулять.
Жирок нагуляли, пора запрягать и в стойло.
ИМХО закон относительно вменяемый и полезный(по крайней мере с точки зрения государств). Он закрывает очень много дыр в законодательстве, которые позволяют избегать ответственности за намеренное создание вредоносного ПО. Есть несколько спорных моментов, но даже в таком виде он на порядки лучше, чем то, что было в законах ЕС до сего момента. Другое дело, что его бы стоило принять лет 20 назад, сейчас уже довольно поздно. Нытья будет очень много
https://youtu.be/62WYddkyTvw
2 270 просмотров 26 июл. 2023 г.
Не так давно нейросети стали главным трендом. Игорь Ашманов рассказывает о том, как искусственный интеллект может повлиять на бизнес, государство, общество и другие сферы. Также в ролике вы узнаете о возможностях и рисках использования ИИ в будущем, и смогут ли они заменить профессии с рабочими местами.
...
Кажется, что все строго наоборот.
А это вообще перл, вызывающий хохот:
"и сообщество open source в нынешнем виде прекратит своё существование"
Это каким образом?
"Такая ситуация не только подорвёт дух open source, но и может привести к кризису, к изоляции ЕС"
Вот это безусловно.
Вообще любопытно, какое дело американцу до дураков из ЕС. И кажется, что дело тут не в опенсорс, а в коммерческих интересах американских компаний...
Какая-то шляпа. Ну вот выложил я на гитхаб что-то под свободной лицензией. Хочешь - пользуйся, не хочешь - не пользуйся. As is. Для отдельных желающих может даже поддержку за денежку малую сделаю. Не пойму только, как на эти телодвижения может повлиять закон - запретят скачивать, собирать и использовать или выдадут ордер на мой арест в случае, если я на какую-нибудь горячую CVE не прореагирую?
Например? Большие (и малые) конторы давно научились жить с OSS. И выглядит это как поставка чего-то с открытыми исходниками в составе своего продукта. Если продукт для пользователя платный, то вопросы с ответственностью примерно по той же схеме, что и с закрытым ПО. Если бесплатный - жрите что дают и не вякайте (это вообще относится в равной степени к любому потребителю халявы в любой стране мира).
Глаза бы не видели - лучшие годы жизни были погребены под этой хренью. Забыл как страшный сон
Гипервизор KVM (Kernel-based Virtual Machine)
https://market.cnews.ru/news/top/2020-04-08_virtualizatsiya_kvm_harakteristiki
чё ты там выложишь если ты суть статьи не понял даже ? ты программы-то писать умеешь ?
и это касается только жителей ЕС, а ты вроде в России обитаешь, тебя не смогут засудить из ЕС
Разве необходимо хамить, когда можно не хамить?
Я программы писать умею. И документацию читать умею. А вот с речекряком современным с трудом справляюсь, не отказываюсь от переводчика смыслов.
как говорят в народе - "грубиянов боятся - в инет не ходить" :)
Да-да... зубов бояться - в рот не давать, есть и такой вариант. Но, а всё-таки, если по существу вопроса - ты понял чего эти крендели желают из европарламента?
если найдут уязвимость в коммерческом софте, в котором использован open source - то засудят того, кто писал этот open source
Но ты же понимаешь что это, мягко говоря, нереализуемый бред? Дыра может быть на стыке, к примеру. Или по причине того, что в чужой вызывающей стороне изменилась какая-то структура и теперь вызываемая сторона её криво переваривает.
Да, в конце концов, я по пьяни helloworld выложил на новом интересном языке, а потом выяснилось что там printf кривой и рута дает при определенных значениях $TERM. И что теперь - не пить и не выкладывать хеловолды?..
так вот и создают рычаг давления на open source, чтоб народ не обменивался знаниями на халяву, а то ишь чего удумали - делают аналоги платного софта, мешают рубить прибыль
Я бы скорее от США такого шага ждал. Но, возможно, они просто самого смелого "добровольца" вперед пустили, проверить качество чужого минного поля...
может это просто вредительство типа взрыва потоков ?
Ну, с моей точки зрения это примерно так и выглядит, только шума меньше и пока что не видно на горизонте яхты, арендуемой симпатизантами 404.
Таки нет, в США корпорации пользуются свободным ПО - им не с руки. Это больше похоже на попытку укусить США - и отморозить себе уши. Но вернее всего крыша едет - у ЕС шизофрения, много голосов, борьба насоли соседу.
Ну, если мы про аналогии, то в США и газом пользуются, но это не значит, что им не выгодно, если ЕС газом пользоваться перестанет.
Ой, а вот и чьи-то ушки синхронно показались. Совершенно случайное же совпадение, я абсолютно уверен!
Это не про Вас и не для Вас. Это против больших компаний зарабатывающих на техподдержке ОпенСорса.
Потому и нытье полетело в народ, что крупные компании не хотят платить налоги и отвечать за свои продукты в Опенсорсе.
Либо они берут за свои опенсорсные продукты деньги (обычно это в рамках поддержки) и тогда отвечают в рамках подписанного SLA, либо ты качаешь какую-нибудь SUSE (это я к примеру, даже не знаю - есть у них сейчас что-то бесплатное или нет) и пользуешься на свой страх.
Ну вот, допустим, я - GMBH "Рога и копытэн". разрабатываю и продаю ПО для удаленного доступа типа AnyDesktop. При этом, раздаю бесплатные вариант своего же софта - в бинарях и, для эстетов и маленьких любителей Gentoo, в исходниках. В этот бесплатный вариант входит почти всё, что и в вариант, который за деньги, можно их считать даже одинаковыми.
Мне (GMBH) перестать выкладывать бесплатные сборки? Или поклясться на крови что патчи будут выходить раньше, чем CVE будут публиковаться или что?
Страницы