Cyber Resilience Act gevaar voor open source, stelt Python Software Foundation
De nieuwe Europese regelgeving die producten met software veiliger moet maken - de Cyber Resilience Act - maakt opensourcegemeenschappen en individuele ontwikkelaars op een oneerlijke manier aansprakelijk voor het leveren van foute code die in producten van commerciële partijen zijn verwerkt, stelt Deb Nicholson, executive director van de Python Software Foundation (PSF) in een verklaring.
© CC4 - Wikimedia commons
CC4 - Wikimedia commons
De PSF verzet zich tegen de algemene termen in de regelgeving. Die kan zo worden uitgelegd dat eindgebruikers van een commercieel product waarin opensourcesoftware is verwerkt, bij problemen de geleden schade kunnen verhalen op de makers van die opensourcecomponenten. "Onder de huidige terminologie kan de PSF potentieel financieel aansprakelijk worden gehouden voor elk product waarin Python-code is verwerkt, terwijl er nooit enige financieel gewin van deze producten tegenover heeft gestaan", staat in de verklaring van de PSF waarover The Register publiceerde.
De huidige bewoordingen maken geen onderscheid tussen onafhankelijke ontwikkelaars - die nooit betaald kregen voor het beschikbaar stellen van software - en de grote techbedrijven die hun producten met winst aan eindgebruikers verkopen, legt Nicholson uit. Dit risico maakt het voor de organisatie onmogelijk nog langer Python en de Python Package Index (PyPI) in Europa beschikbaar te maken. De organisatie die de Python-code wereldwijd beheert, verwacht dat de CRA in zijn huidige vorm ontwikkelaars ontmoedigt om deel te nemen aan opensourceprojecten.
Kritiek zwelt aan
De PSF is niet de enige organisatie die kritiek levert op de manier waarop de CRA nu is vormgegeven. Onder meer de Eclipse Foundation en het Nederlandse NLnet Labs waarschuwen voor onbedoelde effecten van het CRA-voorstel. Onafhankelijk cyberexpert Bert Hubert en Europarlementariër Bart Groothuis uitten onlangs in AG Connect al hun zorgen.
Als onderbouwing voor de bezwaren haalt Nicholson onder meer artikel 16 uit het CRA-voorstel aan: "A natural or legal person, other than the manufacturer, the importer or the distributor, that carries out a substantial modification of the product with digital elements shall be considered a manufacturer for the purposes of this Regulation." Dat betekent dat bijvoorbeeld een software-update van een product de maker van die software - bijvoorbeeld bij een aanpassing van een opensourceproject - aansprakelijk is voor de gevolgen van die aanpassing.
Volgens de PSF zouden de Brusselse opstellers van de CRA duidelijke uitzonderingen moeten maken voor publiek beschikbare software repositories bedoeld voor het algemeen publiek belang. Ze roept iedereen op die de potentiële gevaren van het huidige voorstel ziet, deze voor 26 april kenbaar te maken aan betrokken Europarlementariërs. In mei volgt dan de verwerking van de amendementen die zijn ingediend op het voorstel.
Update:
Voor Nederlanders valt hier te zien wie de Europarlementariërs zijn die aangeschreven kunnen worden over het CRA-wetsvoorstel.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee