بیش از دهها نهاد صنعت متنباز با انتشار نامهای سرگشاده از کمیسیون اروپا (EC) درخواست کردهاند تا جنبههای پیشنهادی قانون مقاومت سایبری (CRA) پیشنهادی خود را مورد بازنگری قرار دهد و گفتهاند که در صورت اجرای این قانون، «اثر وحشتناکی» بر توسعه نرمافزار منبع باز خواهد داشت. شکل فعلی آن
سیزده سازمان، از جمله بنیاد اکلیپس، بنیاد لینوکس اروپا، و ابتکار منبع باز (OSI)، همچنین خاطرنشان میکنند که قانون مقاومت سایبری همانطور که نوشته شده «یک خطر اقتصادی و تکنولوژیکی غیرضروری برای اتحادیه اروپا به همراه دارد».
به نظر میرسد هدف این نامه این است که جامعه متنباز بتواند نظر بزرگتری در تکامل CRA به همراه پیشرفت آن در پارلمان اروپا به دست آورد.
در این نامه آمده است:
ما نامه می نویسیم تا نگرانی خود را از اینکه جامعه منبع باز بزرگتر در طول توسعه قانون مقاومت سایبری تا به امروز کمتر ارائه شده است، ابراز می کنیم و مایلیم با حمایت ما اطمینان حاصل کنیم که این مشکل در طول فرآیند قانونگذاری مشترک برطرف می شود. نرم افزار منبع باز بیش از 70 درصد از نرم افزارهای موجود در محصولات با عناصر دیجیتال در اروپا را نشان می دهد. با این حال، جامعه ما از ارتباط برقرار شده با قانونگذاران مشترک بهره مند نیست.
نرمافزار و سایر مصنوعات فنی تولید شده توسط ما در کمک به صنعت فناوری همراه با حاکمیت دیجیتال و مزایای اقتصادی مرتبط در سطوح مختلف بیسابقه است. با CRA، بیش از 70٪ از نرم افزار در اروپا بدون مشاوره عمیق در حال تنظیم است.
مراحل اولیه
قانون مقاومت سایبری که برای اولین بار در ماه سپتامبر به صورت پیشنویس معرفی شد، تلاش میکند تا بهترین شیوههای امنیت سایبری را برای محصولات متصل فروخته شده در اتحادیه اروپا به قانون تبدیل کند. این قانون برای تولیدکنندگان سختافزار و نرمافزار متصل به اینترنت، بهعنوان مثال کسانی که اسباببازیهای مجهز به اینترنت یا یخچالهای «هوشمند» تولید میکنند، طراحی شده است تا مطمئن شوند محصولاتشان قوی هستند و با آخرین بهروزرسانیهای امنیتی بهروز میشوند.
جریمه های عدم رعایت ممکن است شامل جریمه هایی تا سقف 15 میلیون یورو یا 2.5 درصد از گردش مالی جهانی باشد.
در حالی که قانون تاب آوری سایبری هنوز در مراحل اولیه خود است و هیچ چیزی قرار نیست در آینده نزدیک به قانون واقعی تبدیل شود، این قانون قبلاً زنگ خطرهایی را در دنیای منبع باز به صدا در آورده است. تخمین زده می شود که اجزای متن باز بین 70 تا 90 درصد از اکثر محصولات نرم افزاری مدرن از مرورگرهای وب گرفته تا سرورها را تشکیل می دهند، با این حال بسیاری از پروژه های متن باز توسط افراد یا تیم های کوچک در اوقات فراغت خود توسعه می یابند. بنابراین، قصد CRA برای گسترش سیستم خود گواهینامه علامت CE به نرم افزار، که به موجب آن همه توسعه دهندگان نرم افزار باید گواهی دهند که نرم افزار آنها شکل کشتی است، می تواند توسعه منبع باز را از ترس نقض قوانین جدید خفه کند.
پیش نویس قانون به شکل فعلی در واقع تا حدودی به سمت رفع برخی از این نگرانی ها پیش می رود. می گوید (تاکید ما):
به منظور جلوگیری از نوآوری یا تحقیق، نرم افزار رایگان و منبع باز توسعه یافته یا عرضه شده خارج از دوره یک فعالیت تجاری نباید باشد مشمول این آیین نامه. این امر به ویژه در مورد نرم افزار، از جمله کد منبع و نسخه های اصلاح شده آن، که به طور آشکار به اشتراک گذاشته می شود و به راحتی قابل دسترسی، قابل استفاده، قابل تغییر و توزیع مجدد است، صادق است. در زمینه نرم افزار، یک فعالیت تجاری ممکن است نه تنها با در نظر گرفتن قیمت برای یک محصول، بلکه با اخذ قیمت برای خدمات پشتیبانی فنی، با ارائه یک پلت فرم نرم افزاری که از طریق آن تولید کننده از خدمات دیگر درآمد کسب می کند، یا با استفاده از آن مشخص شود. داده های شخصی به دلایلی غیر از صرفاً برای بهبود امنیت، سازگاری یا قابلیت همکاری نرم افزار.
با این حال، این زبان در حال حاضر نگرانی هایی را در دنیای منبع باز ایجاد کرده است. در حالی که به نظر می رسد متن نرم افزار منبع باز غیرتجاری را از محدوده خود مستثنی می کند، تلاش برای تعریف معنای “غیر تجاری” یک تلاش مستقیم نیست. همانطور که مدیر خط مشی GitHub، Mike Linksvayer در یک پست وبلاگی در ماه گذشته اشاره کرد، توسعه دهندگان اغلب “منبع باز را در انواع زمینه های پولی و بدون پرداخت” ایجاد و نگهداری می کنند، که ممکن است شامل شرکت ها، دولتی، غیرانتفاعی، دانشگاهی و موارد دیگر باشد.
Linksvayer نوشت: “سازمان های غیر انتفاعی خدمات مشاوره پولی را به عنوان پشتیبانی فنی برای نرم افزار منبع باز خود ارائه می دهند.” و به طور فزاینده ای، توسعه دهندگان حمایت های مالی، کمک های مالی و سایر اشکال حمایت مالی برای تلاش های خود دریافت می کنند. این تفاوتها مستلزم معافیت متفاوتی برای منبع باز است.»
بنابراین در واقع، همه چیز به زبان خلاصه می شود – روشن می شود که توسعه دهندگان نرم افزار منبع باز مسئولیتی در قبال هرگونه لغزش امنیتی محصول پایین دستی که از یک جزء خاص استفاده می کند، نخواهند داشت.
Linksvayer افزود: “قانون تاب آوری سایبری را می توان با تمرکز بر محصولات نهایی بهبود بخشید.” “اگر نرم افزار منبع باز به عنوان محصول پولی یا پولی ارائه نمی شود، باید از آن معاف شود.”
“اثر سرد کننده”
تعداد فزایندهای از مقررات پیشنهادی در اروپا نگرانیهایی را در سراسر چشمانداز فناوری ایجاد میکند و نرمافزار منبع باز موضوعی تکراری است. در واقع، مسائل پیرامون CRA تا حدودی یادآور مواردی است که با قانون آتی هوش مصنوعی اتحادیه اروپا روبرو هستند، که به دنبال کنترل برنامه های کاربردی هوش مصنوعی بر اساس خطرات درک شده آنهاست. مدیر عامل GitHub، توماس دومکه اخیراً معتقد است که توسعه دهندگان نرم افزار منبع باز باید از محدوده آن قانون مستثنی شوند، زیرا می تواند مسئولیت حقوقی سنگینی را برای سیستم های هوش مصنوعی عمومی (GPAI) ایجاد کند و قدرت بیشتری را به بزرگ هایی که به خوبی تأمین مالی می شوند، ایجاد کند. شرکت های فناوری
در مورد قانون انعطافپذیری سایبری، پیام جامعه نرمافزار متنباز کاملاً واضح است – آنها احساس میکنند که صدایشان شنیده نمیشود، و اگر تغییراتی در قانون پیشنهادی ایجاد نشود، میتواند تأثیر طولانیمدتی داشته باشد.
در این نامه آمده است: “صداها و تخصص ما باید شنیده شود و فرصتی برای اطلاع رسانی تصمیمات مقامات دولتی داشته باشیم.” «اگر CRA در واقع به صورت مکتوب پیادهسازی شود، بر توسعه نرمافزار متنباز بهعنوان یک تلاش جهانی تأثیر وحشتناکی خواهد داشت، با تأثیر خالص تضعیف اهداف بیانشده اتحادیه اروپا برای نوآوری، حاکمیت دیجیتال و رفاه آینده. ”
لیست کامل امضاکنندگان شامل: بنیاد اکلیپس; بنیاد لینوکس اروپا؛ ابتکار منبع باز (OSI)؛ OpenForum اروپا (OFE)؛ Associaçāo de Empresas de Software Source Open Portuguesas (ESOP); CNLL; بنیاد اسناد (TDF)؛ انجمن های تجاری نرم افزار منبع باز اروپا (APELL)؛ COSS – مرکز فنلاند برای سیستمها و راهحلهای باز؛ اتحاد کسب و کار منبع باز (OSBA)؛ سیستم ها و راه حل های باز (COSS)؛ OW2 و بنیاد میراث نرم افزاری.