包括Eclipse基金会与欧洲Linux基金会等组织,针对网络韧性法案(Cyber Resilience Act)向欧盟提交公开信,指出目前欧盟所制定的网络韧性法案,并没有开源社群参与,导致目前的法案提案内容对开源软件项目不够友善,可能使开源贡献者出现寒蝉效应,限制开源项目的应用创新。
欧盟在2022年9月15日发布了网络韧性法案提案,目的是要规范数字产品的网络安全,希望制造商能够强化网络安全规则,以确保硬件和软件产品的安全性,最终希望减少不良网络安全产品所带来的用户和社会成本。
网络韧性法案规范带有数字元素的产品,确保硬件和软件产品上市时,能有更少的漏洞,使制造商能在产品生命周期确保网络安全,同时该法案也创造了条件,让用户在选择带有数字元素的产品时,将网络安全列入选择条件。
该法案有四大具体目标,首先,法案要求制造商在设计和开发阶段,将网络安全列入考量,并且在产品生命周期间确保其安全性,网络韧性法案第二个目标是提供一个网络安全框架,供硬件和软件制造商遵循,第三则是提高数字元素产品的安全性透明度,最后一个目标是让企业和消费者都能够安全地使用数字元素产品。
虽然网络韧性法案的立意良好,但是其规范可能扼杀开源生态系,降低开源贡献者参与开发意愿。 开放源代码促进会(Open Source Initiative,OSI)提到,这项法案试图将CE(Conformité Européenne)欧洲法规符合性标志扩展到软件上,以提高软件的安全性和完整性,但是这却可能对开源软件造成伤害。
网络韧性法案的提案要求软件供应商自我认证,包括安全性、隐私性和无CVE等方面都须符合法案规范,不过这对开源团队的运作可能窒碍难行,或是造成一定程度的负担。 而且当开源软件存在安全问题,网络韧性法案若要求贡献者负担相对应的法律责任,则将会降低贡献者的开发意愿,导致项目发展受限。
虽然网络韧性法案的本意并非要打压开源项目,但是法案中「商业」与「非商业」的措辞可能产生法律不确定性,OSI指出,「商业」这个词不应该用在开源情境中,因为开源项目也需要商业行为,来支持维护者社群。 因此商业行为存在与否,并无法作为区分开源项目与企业应用的方法。
Eclipse基金会等开源社群,向欧盟发出的公开信指出,开源社群的声音并未在法案制订过程获得充分表达,即便开源软件在欧洲数字产品软件占70%以上,但是开源社群与立法者间并未有完善的沟通渠道。
信中提到,任何影响软件产业的立法,都要考虑开源软件的独特需求和观点,他们希望立法者可以听取开源社群的意见,并且有机会影响决策,否则依据现行提案条文实施,将冲击全球开源软件开发,并出现寒蝉效应,最终也会破坏欧盟本身的创新和数字主权等目标。
