Η κοινωνία και οι κυβερνήσεις αγωνίζονται να προσαρμοστούν σε έναν κόσμο γεμάτο απειλές για την ασφάλεια στον κυβερνοχώρο. Ενδεικτική περίπτωση: η EU CRA — Cyber Resilience Act — είναι μια πρόταση της Ευρωπαϊκής Επιτροπής για τη θέσπιση νομοθεσίας με έναν ευγενή στόχο: την προστασία των καταναλωτών από το έγκλημα στον κυβερνοχώρο με την ασφάλεια κατά τη διάρκεια του σχεδιασμού. Ακόμα κι αν δεν ζείτε στην ΕΕ, η σημερινή παγκόσμια αγορά διασφαλίζει ότι εάν το Ευρωπαϊκό Κοινοβούλιο εγκρίνει αυτήν τη νομοθεσία, θα επηρεάσει τα προϊόντα που αγοράζετε και, πιθανώς, τα προϊόντα που δημιουργείτε.
Αν θέλετε κάποιο ιστορικό υπόβαθρο, μπορείτε να διαβάσετε το κλειστό πλέον αίτημα της ΕΕ για σχόλια και την άρθρο που περιγράφει τα προβλήματα από το opensource.org . Στο επίκεντρο του ζητήματος βρίσκεται η ανάγκη των οργανισμών να αυτο- πιστοποιήσουν τη συμμόρφωσή τους με την πράξη. Δεδομένου ότι ο ανοιχτός κώδικας διατηρείται συχνά από μια μικρή χαλαρή ομάδα συνεισφερόντων, είναι δύσκολο να δούμε πώς θα λειτουργήσει αυτό.
Εδώ είναι και η ανησυχία μας: Ας υποθέσουμε ότι γράφετε ένα όμορφο μικρό πρόγραμμα C++ για δική σας χρήση. Δεν είστε εταιρεία και δεν το κάνατε για κέρδος. Θέλοντας να μοιραστείτε την εργασία σας, δημοσιεύετε το πρόγραμμά σας στο GitHub με άδεια ανοιχτού κώδικα. Αυτό συμβαίνει συνέχεια.
Εν τω μεταξύ, ένας άλλος προγραμματιστής ενός μεγάλου προγράμματος ανοιχτού κώδικα — ας πούμε ότι ο εικονικός διακομιστής βάσης δεδομένων ανοιχτού κώδικα GRID αποφασίζει να ενσωματώσει τον κώδικά σας. Αυτό επιτρέπεται. Μάλιστα, ενθαρρύνεται κιόλας. Έτσι λειτουργεί ο ανοιχτός κώδικας.
Το πρόβλημα είναι όταν η βάση δεδομένων GRID έχει πρόβλημα που προκαλεί παραβίαση δεδομένων. Το πρόβλημα αποδεικνύεται ότι είναι μια ευπάθεια στον κώδικά σας. Σύμφωνα με τον προτεινόμενο νόμο, είναι πιθανό να θεωρηθείτε υπόλογος και να σας επιβληθεί χρηματικό πρόστιμο, χάρη στο χόμπι σας από το οποίο δεν έχετε πάρει ούτε ένα σεντ. Η κατάσταση είναι ακόμη πιο περίπλοκη εάν ο κώδικάς σας έχει πολλούς συνεισφέροντες. Ήταν ο κώδικας σας που προκάλεσε την παραβίαση ή ο κώδικας άλλου προγραμματιστή; Ποιος «κατέχει» το έργο; Είναι όλοι οι συνεισφέροντες υπεύθυνοι; Αντιμέτωποι με αυτό, οι περισσότεροι άνθρωποι πιθανότατα θα σταματούσαν να συνεισφέρουν ή να επιβάλλουν μια άδεια που καθιστά παράνομη τη χρήση του κώδικά τους σε δικαιοδοσίες όπου ισχύουν νόμοι όπως αυτός.
Αν και κατά πάσα πιθανότητα οι χομπίστες πιθανότατα θα εξαιρούνται ρητά, επομένως το παραπάνω σενάριο δεν είναι πιθανό. Ωστόσο, οι χομπίστες προγραμματιστές δεν κάνουν το μεγαλύτερο μέρος του λογισμικού ανοιχτού κώδικα που έχει σημασία. Σημαντικό λογισμικό δημιουργείται συχνά από πληρωμένους προγραμματιστές που εργάζονται ως μέρος ενός ιδρύματος ή ενός οργανισμού. Η ΕΕ αναφέρει την «εμπορική δραστηριότητα» και ο φόβος είναι ότι μεγάλα λογισμικά όπως το Apache, το Linux και άλλα σημαντικά έργα ανοιχτού κώδικα θα εμπίπτουν σε αυτήν την ομπρέλα.
Η συναίνεση είναι ότι η ΕΕ δεν θέλει να ακρωτηριάσει ή να σκοτώσει τον ανοιχτό κώδικα. Αλλά υπάρχει ακόμη χρόνος για να υπάρξουν αλλαγές στην πράξη που θα κάνουν τον νόμο πιο λογικό. Παρόμοιες προσπάθειες γίνονται και σε άλλες χώρες. Κατανοούμε την επιθυμία να προστατεύσουμε τους καταναλωτές και τα κρίσιμα συστήματα από ευπάθειες στον κυβερνοχώρο και συμφωνούμε ότι έχει κάποια καλά σημεία. Αλλά γνωρίζουμε επίσης ότι η εξόντωση του λογισμικού ανοιχτού κώδικα δεν θα είναι χρήσιμη. Ελπίζουμε ότι ορισμένες αναθεωρήσεις στην πράξη και παρόμοιες προσπάθειες σε άλλες χώρες θα βοηθήσουν στην προστασία του ανοιχτού κώδικα, ώστε να μπορεί να συνεχίσει να συμβάλλει στην προώθηση της καινοτομίας.
Πηγή άρθρου: https://hackaday.com/