欧盟《网络弹性法案》对开源开发者的影响解析

本文深入解析欧盟《网络弹性法案》对开源开发者的实际影响,包括软件物料清单要求、商业与非商业开发者的区别,以及Linux内核维护者Greg Kroah-Hartman的专业见解。法案要求企业公开开源依赖,但个人开发者基本不受影响。

Greg Kroah-Hartman为开源开发者解读《网络弹性法案》

观点 关于欧盟《网络弹性法案》对开源程序员的影响,一直存在相当多的担忧。然而,Linux稳定内核维护者Greg Kroah-Hartman表示,实际上不会产生太大影响。

当欧盟《网络弹性法案》的消息首次出现时,开源软件开发者和公司都忧心忡忡。正如Python软件基金会执行董事Deb Nicholson当时所说:“根据目前的措辞,PSF可能需要对任何包含Python代码的产品承担财务责任,却从未从这些产品中获得任何金钱收益。“这确实令人担忧!

不过,此后欧盟已使CRA对开源更加友好。有多友好?根据顶级Linux内核维护者兼CRA专家工作组成员Greg Kroah-Hartman的说法,“对开源贡献者和维护者来说……CRA是件好事。我认为它将帮助我们。”

在巴黎的Linux内核食谱会议上,Kroah-Hartman首先表示:“当你开始编程时,从未想过要处理律师之类的事情。但现在的我就在这里。这都是我的个人观点。“但他相信,CRA已变得"实际上可口且可用”,能为开源带来好处。

CRA的核心要求

Kroah-Hartman解释说,CRA引入了对具有数字元素产品生产者的法律要求。这是一个广泛的类别,包括几乎所有软件驱动的设备和程序,要求它们记录、保护并维护其软件供应链。这意味着公司现在必须生成软件物料清单,跟踪漏洞,对新发现的问题做出响应,并对安全实践保持透明。对开源开发者而言,这意味着公司首次必须公开承认并记录其开源依赖。在Kroah-Hartman看来,这是一场胜利。

修订后的CRA方法的一个基本区别是,它将无偿的业余开发者与法律"人”(如基金会、项目和将开源软件商业化的公司)分开。具体来说,非商业开源开发者可以继续发布软件,几乎无需担心。只要项目不是作为法律或商业实体组织,CRA仅要求提供包含安全联系人的基本"自述文件”。对于仅在在线或出版物中分享代码的个人贡献者,即使他们因撰写文章获得报酬,只要软件本身没有货币化或组织化,就不存在法律风险。

不同实体的责任区分

该自述文件必须说明"向谁发送安全问题的电子邮件以及向安全监控组织报告安全问题”。仅此而已。“所以不要害怕CRA。这些是你无论如何都应该做的事情。”

项目管理者,如法人,则是另一回事。他们必须提供安全联系人和报告流程。如果组织接收或分发资金或捐赠,则属于此类,必须遵守管理要求。“因此,“他继续说,“Linux基金会必须遵守这些规则。Mozilla必须遵守这些规则。我和Linus作为为他们工作的个人,不必遵守规则。“就Kroah-Hartman而言,“这是一个合理的基础,大多数负责任的项目已经满足。”

这些规则是什么?CRA的重点是商业制造商和分销商。这意味着将开源代码集成到欧盟产品中的企业必须完全遵守文档、事件响应和生命周期管理要求。这包括发布软件物料清单,在规定时间内修补漏洞,并主动响应安全事件报告。

就CRA而言,将开源工作货币化的咨询业务可能被视为制造商,触发合规义务。独立顾问或小型公司可能需要组建法律实体,但据Kroah-Hartman称,如果你已经遵循良好的开发实践,工作量"并不大”。

对硬件厂商的严格约束

与纯软件咨询公司相比,在产品中使用开源代码的硬件或设备供应商面临的规定要严格得多。几十年来,硬件供应商一直在使用开源代码,却不遵守开源许可规则,例如Vizio在其智能电视中使用Linux。根据CRA,他们将发现更难逃避责任或否认在产品中违反开源软件条款,就像思科在2008年对其Linksys路由器所做的那样。(该案最终达成和解,任命了自由软件总监,在其网站上提供产品源代码,并向自由软件基金会捐款。)

全球范围的影响

你可能认为既然CRA是欧盟法律,对欧盟以外的国家就不重要。那你就错了。CRA实际上扩展到了全球范围。如果软件在欧盟"市场上"可访问,它就属于该法律的范围。因此,例如,美国和日本的供应商如果其产品可从欧盟下载或操作,就必须密切关注合规性。

例如,制造商必须对漏洞采取行动,即使上游维护者没有修复问题。为产品选择开源代码的制造商必须理解代码、支持代码,并响应监管报告要求。Kroah-Hartman指出,这可能会增加公司使用积极支持的开源项目或更接近主流、资源充足社区的压力。

对开源使用的潜在影响

这会使得公司对使用开源软件更加谨慎吗?Kroah-Hartman认为会产生相反的效果。CRA也涵盖专有软件。他认为,这些新要求不会对紧张的公司或法律部门发布开源产生"寒蝉效应”,反而会增加对开源的需求,因为与封闭源代码供应商相比,公司对代码命运获得了更多控制权。

已经在程序中使用开源代码的企业仍未意识到CRA对他们来说将是多么重要。他们很快就会明白。Kroah-Hartman预测:“公司会来找你们[开源开发者]。我会创建一个小表格,说’这是你需要发送的内容。'”

“情况会变得更糟,因为它很快就会影响到公司。制造商将在明年9月开始关心。他们将在明年夏天开始恐慌,事情将开始变得混乱。“他们会希望开发者承担CRA将给他们的负担。但你不必这样做。这是他们的问题,不是你作为程序员的问题。

最佳实践与未来展望

当然,鼓励开发者现在采用最佳实践——例如,安全报告、清晰的SBOM、供应链检查。基金会和大型社区项目正在与欧盟合作制作清单和模板以简化合规性。Kroah-Hartman报告称,关于商业与非商业义务的大部分模糊之处将在未来一年内得到澄清,并为项目提供可访问的实施资源。

在随后的问答环节中,Kroah-Hartman表达了乐观的看法:“这里的目标和意图不是为难在座的任何人。目标和意图也是为了让大公司在发布开源软件时承担责任,因为他们希望这不是对CRA的规避。”

“因此,将这两件事合并在一起,在中间形成了一条非常曲折的线。但他们是站在我们这边的。我与制定这项法律的不同国家的代表交谈过。他们理解开源。他们理解世界如何在开源中运行。他们根本不想看到它因此受到损害。所以要对这一点有信心。” ®

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次