LinuxParty

Además, la legislación propuesta crea “un riesgo económico y tecnológico innecesario para la UE”.

Los gobiernos y la sociedad tienen problemas para adaptarse a un mundo plagado de peligros de ciberseguridad. Un buen ejemplo es la CRA de la UE, o Cyber ​​Resilience Act, una propuesta legislativa de la Comisión Europea para proteger a los clientes del ciberdelito mediante la incorporación de la seguridad en el diseño del producto. Incluso si no reside en la UE, la adopción de esta legislación por parte del Parlamento Europeo probablemente tendrá un impacto en los artículos que compra y, tal vez, en las cosas que fabrica debido al mercado global actual. En un podcast reciente, nuestro propio [Jonathan Bennett] y [Doc Searles] hablaron con [Mike Milinkovich] de la Fundación Eclipse sobre el plan y lo que creen que sería el desarrollo del software de código abierto, el golpe casi mortal. El podcast está disponible para verlo a continuación.

Puede leer la publicación del blog de opensource.org que describe los problemas y la solicitud de comentarios de la UE, ahora cerrada, si desea obtener información general. El requisito de que las organizaciones autocertifiquen su conformidad con el acto es el núcleo del problema. Es difícil entender cómo funcionará esto porque el código abierto con frecuencia lo mantiene un pequeño grupo de colaboradores.

Aquí hay un breve resumen del problema. Digamos que creas un pequeño y divertido programa en C++ para uso personal. No eres un negocio y no hiciste nada para ganar dinero. Publicas tu programa en GitHub con una licencia de código abierto porque quieres compartir tu trabajo. Esto ocurre con frecuencia.

Mientras todo esto sucede, otro desarrollador de un importante programa de código abierto (utilicemos el servidor de base de datos GRID imaginario como ejemplo) decide incluir su código. Eso está permitido. Incluso se anima, de hecho. Así es como funciona el código abierto.

El problema surge cuando la base de datos GRID experimenta un problema que resulta en una fuga de datos. Resulta que la vulnerabilidad de su código es la causa del problema. Es probable que bajo la nueva ley, su proyecto de pasatiempo caritativo, que no generó ningún ingreso para usted, lo deje en la bolsa por una suma sustancial de dinero. Si diferentes personas contribuyeron a su código, el problema es considerablemente más complicado. ¿La infracción fue provocada por su código o por el código del otro desarrollador? ¿Quién es el “dueño” de la empresa? ¿Todos los participantes son responsables? Ante esto, la mayoría de las personas probablemente dejarían de donar o impondrían una licencia que hiciera ilegal el uso de su código en áreas donde se aplicaran leyes similares a esta.

El escenario antes mencionado es poco probable, ya que [Milinkovich] señala que los aficionados probablemente estarán oficialmente exentos. Sin embargo, afirma que la mayoría del software de código abierto importante no es creado por programadores aficionados. El software importante es producido con frecuencia por programadores pagados que forman parte de una fundación o empresa patrocinadora. Existe la preocupación de que cuando la UE se refiera a "actividad comercial", se incluirá software importante como Apache, Linux y otros proyectos importantes de código abierto.

Existe un acuerdo general de que la UE no tiene la intención de dañar o acabar con el código abierto. Sin embargo, todavía hay tiempo para que la ley sea enmendada de una manera que la haga más aceptable. Otras naciones también están haciendo intentos similares. Reconocemos la necesidad de proteger a los clientes y los sistemas vitales de las fallas de seguridad cibernética, y [Mike] está de acuerdo en que tiene sentido en algunos casos. Sin embargo, somos conscientes de que eliminar el software de código abierto no será beneficioso. Anticipamos que los cambios en la ley e iniciativas similares en otras naciones ayudarán a salvaguardar el software de fuente abierta para que pueda continuar impulsando la innovación.