Європейський Союз (ЄС) наразі розглядає можливість затвердження Закону про кіберстійкість (The Cyber Resilience Act), який становить серйозну загрозу для майбутнього глобальної індустрії відкритого коду. Про це у статті для DevOps повідомляє Брайан Фокс, кофаундер і CTO Sonatype.
Мета розроблення цього закону полягає в тому, щоб посилити кібербезпеку (що дуже вітається). Але, за словами автора, у його поточній формі не прописані чіткі звільнення від відповідальності для багатьох розробників і супроводжувачів відкритого коду.
Як стверджує автор, нормативний акт може стати «посмертним дзвоном» для глобальної спільноти Open Source в ЄС і викликати масштабні наслідки.
Сучасні програми на 90% складаються з відкритого коду. Як стверджує Фокс, покарання розробників відкритого коду призведе до фрагментації спільноти та перешкодить важливим проєктам у різних секторах, включаючи критичну інфраструктуру, охорону здоров’я та навіть військові системи.
Законопроєкт у поточному вигляді зашкодить економіці ЄС, не забезпечивши суттєвого покращення безпеки. Зокрема, документ вимагатиме, щоб про вразливості повідомлялося Агентству Європейського Союзу з кібербезпеки (ENISA) протягом кількох годин після виявлення незалежно від того, доступне виправлення чи ні.
Це ускладнить скоординоване розкриття інформації, коли дослідники дають постачальникам час на розробку виправлень безпеки до того, як вразливості будуть оприлюднені. Існує ризик, що зловмисники розроблять експлойти для вразливостей ще до того, як їх буде виправлено, піддаючи ризику кожну компанію, яка використовує це програмне забезпечення.
«Проєкти в ЄС, стурбовані можливістю відповідальності, можуть видалити свій вихідний код з Інтернету. Європейські підприємства можуть бути змушені припинити внески у проєкти з відкритим кодом», – попереджає автор.
Нормативний акт, на його думку, також завадить розробникам OSS брати участь у проєктах з відкритим кодом і підтримувати їх.
«Ця ситуація не тільки підриває дух відкритого коду, а й може спричинити кризу відкритого коду та ізолювати ЄС від решти світу», – стверджує Брайан Фокс.
Якщо до Закону про кіберстійкість не буде внесено належних виправлень, розробники та супроводжувачі можуть зіткнутися з юридичними ризиками та відповідальністю за вразливості, виявлені в коді, що використовується у комерційних продуктах. Розробники OSS не бачать, як і в яких випадках використовуються їхні компоненти, лише кінцевий виробник продукту має цю можливість.