多样化的开源用途凸显了网络韧性法案对精确性的需求

随着欧洲网络韧性法案 (CRA) 进入最后立法阶段,它仍然存在一些由欧盟委员会或议会框架引起的需求,这些需求导致无论其范围内的哪些问题如何“解决”都会出现问题。

这是一份简短列表,旨在帮助共同立法者了解开源社区的参与。

  • OSI 和与其合作的专家 并非试图将所有开源排除在范围之外,就像最大化的游说者为技术的其他方面所做的那样。将开源软件本身排除在法规之外将为“洗白开源”打开一个重大漏洞。但是,在开放环境中开发开源软件需要排除在范围之外,就像在私下开发软件一样。我们参与的目标只是为了防止意外的破坏,同时在很大程度上拥抱新法规。
  • 开源的使用方式并非只有一种。 我们与之交谈过的许多政策制定者认为供应链中的开源组件由 Eclipse 基金会等基金会管理,基本上是按原样使用。但是,开源的自由也用于堆栈构建、消费者工具、支持研究、业余爱好者修补,以及作为欧洲小型企业(如 XWiki、Open-Xchange、Abilian 等)的基础。所有这些其他用途都存在,并且受到 CRA 的不同程度的破坏。 软件首先是一种文化产物,必须优先考虑这一方面。
  • 开源商业模式并非只有一种。 人们开源中赚钱(通过收费、以服务形式运行和支持它)和开源一起赚钱(通过简化业务和降低成本);他们通过开源塑造市场,通过支持邻近业务、将竞争对手商品化而不将其客户货币化等等——软件自由实现了大量的商业模式。因此,任何 识别商业性的尝试肯定都是特定于模型的,因此会对其他模型产生意想不到的后果。
  • 即使是像 Linux 基金会这样的大型基金会实际上也没有雇用确保代码合规性的人员—— 开源在概念上与专有软件脱节。为了遵守 CRA——如果他们发现自己处于范围内——他们将需要雇用一个全新的运营部门。对他们来说,合规负担不是像制造有形商品那样由收入资助的开发成本,因为制造有形商品的人员已经存在,只需要调整即可。

正如我们在 1 月份所做的那样,OSI 仍然 建议网络韧性法案应排除软件商业部署之前的所有活动,并明确确保 CE 标志的责任不应由任何非直接商业受益者的行为者承担。