Debian のロゴ
数日前に国民投票の結果が発表されました。 Debian プロジェクト開発者の皆様 その中で プロジェクトに関する立場を発表しました サイバー強靱化法(CRA)欧州連合で提案されています。
サイバーレジリエンス法は要件を確立することを目的としています ソフトウェアメーカー向けの追加、 セキュリティと脆弱性管理の向上を目的として 製品のライフサイクル全体にわたって。しかし、Debian コミュニティは、オープンソース ソフトウェア開発エコシステムへの潜在的な影響について懸念を表明しました。
サイバー強靱化法とは何ですか?
サイバーレジリエンス法 (CRA) 欧州委員会によって提案された法律です 狙う デジタル製品とサービスのサイバーセキュリティを強化する 欧州連合で。
CRA メーカーとサプライヤーに対する一連の要件を確立します これは、製品またはサービスのライフサイクル全体を通じて満たされる必要があり、要件に違反した場合には、15 万ユーロまたは企業の年間売上高の 2,5% に達する可能性のある罰金を導入することが計画されています。ひっくり返す。
法案が可決されれば、 メーカーは自社製品の脆弱性に対処するパッチの配布を促進することが求められる。その上、 新製品を市場に投入する前にセキュリティリスク評価を実施する必要がある そしてセキュリティテストを実行します。特に、重要なシステムに対する外部監査の義務化が実施されます。その上、 メーカーは製品ライフサイクル全体を通じてあらゆる脆弱性を排除することが期待されています セキュリティ インシデントは発見後最長 24 時間以内に欧州連合サイバーセキュリティ機関 (ENISA) に報告します。
この法律の主な影響は商用ソフトウェアの製作者に及ぶことは言及しておく価値がありますが、 地域社会では、それが社会に悪影響を与える可能性があると懸念されています。 開発エコシステム オープンソースソフトウェア。
主な懸念点
Debian の法的責任
この法案では、セキュリティ要件を遵守しなかった場合の法的責任が導入されており、目的を問わずソフトウェアを制限なく配布するという Debian の社会的責任に反しています。コードの出所を追跡せず、いかなる目的でもソフトウェアを制限なく配布することにより、Debian は CRA に定められた要件を適用する際に法的リスクに直面します。
オープンソースの廃止の可能性
CRAは、上流プロジェクトが制裁を恐れてコードの提供を停止するよう導く可能性がある。また、開発者は法的影響を考慮する必要があるため、オープンソース コミュニティがコードを共有することが困難になる可能性があります。
オープンソース開発への影響
コミュニティは、CRA がオープンソース プロジェクトの推進を制限し、オープンソース ソフトウェアの国際的な開発を妨げる可能性があることを懸念しています。オープンソース プロジェクトを使用またはオープンソース プロジェクトに貢献する企業は、コードが他国で作成されたものであっても、セキュリティ問題の責任を負う可能性があります。
独立プロジェクトの法的リスク
商用メーカーのコードを組み込んだ独立プロジェクトは、CRA によって導入された法的責任が商用プロジェクトと非商用プロジェクト間のコードの移転に影響を与える可能性があるため、不確実な法的結果に直面する可能性があります。
報告要件の性質に疑問がある
開発者は、セキュリティ問題を 24 時間以内に欧州ネットワーク情報セキュリティ庁 (ENISA) に報告するという要件について疑問を表明しています。パッチが適用されていない脆弱性に関する情報を XNUMX か所に蓄積すると、データ漏洩が発生した場合に重大なリスクが生じる可能性があります。
要望と提案
オープンソース開発からの除外
Debian 開発者は、オープンソース開発を CRA から完全に削除し、この法律を最終製品にのみ適用することを求めています。
個人事業主および中小企業に対する免除
個人事業主や中小企業はすべての要件を満たしておらず、閉鎖を余儀なくされる可能性があるため、CRA要件は個人事業主や中小企業には適用されないことが提案されています。
報告要件の再評価
Debian 開発者は、関連する潜在的なセキュリティ リスクを考慮して、CRA 報告要件の必要性と性質を再評価するよう求めています。
Debian 開発者の声明は、提案された CRA によって懸念が提起される中、オープンソース ソフトウェア開発のオープンで協調的な性質を維持することの重要性を強調しています。
最後に、さらに詳しく知りたい場合は、以下の詳細を参照してください。 次のリンク。