圖片來源: 

Linux Foundation Europe

包括Eclipse基金會與歐洲Linux基金會等組織,針對網路韌性法案(Cyber Resilience Act)向歐盟提交公開信,指出目前歐盟所制定的網路韌性法案,並沒有開源社群參與,導致目前的法案提案內容對開源軟體專案不夠友善,可能使開源貢獻者出現寒蟬效應,限制開源專案的應用創新。

歐盟在2022年9月15日發布了網路韌性法案提案,目的是要規範數位產品的網路安全,希望製造商能夠強化網路安全規則,以確保硬體和軟體產品的安全性,最終希望減少不良網路安全產品所帶來的用戶和社會成本。

網路韌性法案規範帶有數位元素的產品,確保硬體和軟體產品上市時,能有更少的漏洞,使製造商能在產品生命周期確保網路安全,同時該法案也創造了條件,讓用戶在選擇帶有數位元素的產品時,將網路安全列入選擇條件。

該法案有四大具體目標,首先,法案要求製造商在設計和開發階段,將網路安全列入考量,並且在產品生命周期間確保其安全性,網路韌性法案第二個目標是提供一個網路安全框架,供硬體和軟體製造商遵循,第三則是提高數位元素產品的安全性透明度,最後一個目標是讓企業和消費者都能夠安全地使用數位元素產品。

雖然網路韌性法案的立意良好,但是其規範可能扼殺開源生態系,降低開源貢獻者參與開發意願。開放原始碼促進會(Open Source Initiative,OSI)提到,這項法案試圖將CE(Conformité Européenne)歐洲法規符合性標誌擴展到軟體上,以提高軟體的安全性和完整性,但是這卻可能對開源軟體造成傷害。

網路韌性法案的提案要求軟體供應商自我認證,包括安全性、隱私性和無CVE等方面都須符合法案規範,不過這對開源團隊的運作可能窒礙難行,或是造成一定程度的負擔。而且當開源軟體存在安全問題,網路韌性法案若要求貢獻者負擔相對應的法律責任,則將會降低貢獻者的開發意願,導致專案發展受限。

雖然網路韌性法案的本意並非要打壓開源專案,但是法案中「商業」與「非商業」的措辭可能產生法律不確定性,OSI指出,「商業」這個詞不應該用在開源情境中,因為開源專案也需要商業行為,來支持維護者社群。因此商業行為存在與否,並無法作為區分開源專案與企業應用的方法。

Eclipse基金會等開源社群,向歐盟發出的公開信指出,開源社群的聲音並未在法案制訂過程獲得充分表達,即便開源軟體在歐洲數位產品軟體占70%以上,但是開源社群與立法者間並未有完善的溝通管道。

信中提到,任何影響軟體產業的立法,都要考慮開源軟體的獨特需求和觀點,他們希望立法者可以聽取開源社群的意見,並且有機會影響決策,否則依據現行提案條文實施,將衝擊全球開源軟體開發,並出現寒蟬效應,最終也會破壞歐盟本身的創新和數位主權等目標。

熱門新聞

Advertisement