開源社群發公開信警告，網路韌性法案將對開源軟體開發造成寒蟬效應

包括Eclipse基金會與歐洲Linux基金會等組織，針對網路韌性法案（Cyber Resilience Act）向歐盟提交公開信，指出目前歐盟所制定的網路韌性法案，並沒有開源社群參與，導致目前的法案提案內容對開源軟體專案不夠友善，可能使開源貢獻者出現寒蟬效應，限制開源專案的應用創新。

歐盟在2022年9月15日發布了網路韌性法案提案，目的是要規範數位產品的網路安全，希望製造商能夠強化網路安全規則，以確保硬體和軟體產品的安全性，最終希望減少不良網路安全產品所帶來的用戶和社會成本。

網路韌性法案規範帶有數位元素的產品，確保硬體和軟體產品上市時，能有更少的漏洞，使製造商能在產品生命周期確保網路安全，同時該法案也創造了條件，讓用戶在選擇帶有數位元素的產品時，將網路安全列入選擇條件。

該法案有四大具體目標，首先，法案要求製造商在設計和開發階段，將網路安全列入考量，並且在產品生命周期間確保其安全性，網路韌性法案第二個目標是提供一個網路安全框架，供硬體和軟體製造商遵循，第三則是提高數位元素產品的安全性透明度，最後一個目標是讓企業和消費者都能夠安全地使用數位元素產品。

雖然網路韌性法案的立意良好，但是其規範可能扼殺開源生態系，降低開源貢獻者參與開發意願。開放原始碼促進會（Open Source Initiative，OSI）提到，這項法案試圖將CE（Conformité Européenne）歐洲法規符合性標誌擴展到軟體上，以提高軟體的安全性和完整性，但是這卻可能對開源軟體造成傷害。

網路韌性法案的提案要求軟體供應商自我認證，包括安全性、隱私性和無CVE等方面都須符合法案規範，不過這對開源團隊的運作可能窒礙難行，或是造成一定程度的負擔。而且當開源軟體存在安全問題，網路韌性法案若要求貢獻者負擔相對應的法律責任，則將會降低貢獻者的開發意願，導致專案發展受限。

雖然網路韌性法案的本意並非要打壓開源專案，但是法案中「商業」與「非商業」的措辭可能產生法律不確定性，OSI指出，「商業」這個詞不應該用在開源情境中，因為開源專案也需要商業行為，來支持維護者社群。因此商業行為存在與否，並無法作為區分開源專案與企業應用的方法。

Eclipse基金會等開源社群，向歐盟發出的公開信指出，開源社群的聲音並未在法案制訂過程獲得充分表達，即便開源軟體在歐洲數位產品軟體占70％以上，但是開源社群與立法者間並未有完善的溝通管道。

信中提到，任何影響軟體產業的立法，都要考慮開源軟體的獨特需求和觀點，他們希望立法者可以聽取開源社群的意見，並且有機會影響決策，否則依據現行提案條文實施，將衝擊全球開源軟體開發，並出現寒蟬效應，最終也會破壞歐盟本身的創新和數位主權等目標。