开源开发者无需过度担忧《网络弹性法案》

Linux稳定内核维护者Greg Kroah-Hartman表示，尽管最初存在担忧，但欧盟《网络弹性法案》对开源程序员的影响实际上很小。

法案的核心要求

《网络弹性法案》对具有数字元素产品的生产者提出了法律要求，这包括几乎所有软件驱动的设备和程序。这些企业现在必须：

• 生成软件物料清单
• 跟踪漏洞
• 响应新发现的安全问题
• 公开安全实践

商业与非商业开发者的区别

修订后的CRA明确区分了无偿的业余开发者与商业化的法律"实体"：

• 商业实体：必须提供安全联系人和报告流程，如Linux基金会和Mozilla

对硬件厂商的严格约束

与纯软件咨询公司相比，在产品中使用开源代码的硬件或设备供应商面临更严格的规定。多年来，硬件厂商一直在使用开源代码却不遵守开源许可规则，而CRA将使这种行为更难逃避责任。

全球影响范围

虽然CRA是欧盟法律，但其影响范围实际上覆盖全球。如果软件在欧盟市场可访问，就属于该法律的管辖范围，因此美国和日本等国的供应商也必须密切关注合规要求。

对开源使用的积极影响

Kroah-Hartman认为，CRA不会让公司对使用开源软件更加谨慎，反而会产生相反的效果。由于企业相比闭源供应商能获得更多代码控制权，这些新要求实际上可能会增加对开源的需求。

实施时间表

企业将在明年9月开始重视这些规定，明年夏季可能会出现恐慌情绪。基金会和大型社区项目正在与欧盟合作制定检查清单和模板，以简化合规流程。