网络弹性法案引入不确定性和风险，使开源项目感到困惑

如果围绕网络弹性法案 (CRA) 下的责任归属的不确定性持续存在，会发生什么？ 全球开源社区厌恶法律风险，并且普遍缺乏法律咨询渠道，因此很有可能直接撤回源代码，而不是寻求解决不确定性。

CRA 正确地解决了商业供应商保护其客户免受漏洞和网络攻击的需求。但是，立法者将软件的开放开发本身置于监管之下，而不仅仅是在市场上以营利为目的使用开源产品。他们 错误地 认为 Dirk Riehle 将单公司项目称为“商业开源”的术语意味着可以使用应用程序的“商业性”来区分单公司活动和社区项目，并通过使用 专有软件的概念 来定义边界。

像 Eclipse 基金会这样的欧洲项目将无法避免这种情况，但是欧洲以外的项目，特别是较小的项目，可能会决定设置地理封锁，并且不向欧洲 IP 地址交付他们的工作。CRA 驱动的地理封锁始于需要寻求法律建议，因为它太令人困惑/不清楚，然后才被告知“也许”，最终让你自己做决定。

当我提出这个问题时，一个回应是说欧盟是一个巨大且有价值的市场，项目不会冒着因地理封锁而被排除在外的风险。但是，这种论点忽略了一个事实，即仅仅因为 Alice 在欧洲盈利地部署了一些代码，并不意味着编写该代码的内布拉斯加州的 Bob 会分享利润，无论他是否在他居住的地方从事商业活动。开源许可证不会建立保证经济回报的关系。

地理封锁以前发生过。许多小型全球出版物 阻止欧盟访问，而不是解决 GDPR 的法律不确定性。但是，与 CRA 相关的地理封锁的风险要严重得多，因为阅读这些网站是可选的，而许多国际维护的开源软件已融入欧洲基础设施的结构中。

此外，那些避免评估其 GDPR 责任（或在评估后逃避责任）的人可能担心合规性会影响他们从监视广告中获得的利益，而对于开源开发人员而言，他们认为的风险是因未能完成对他们的工作没有任何增加的文件而被惩罚性官僚机构盯上。

如果这种困惑持续存在，开源项目将需要认真考虑如何进行。理清那些选择务实地封锁欧洲的依赖关系将是痛苦的；应该 fork 还是替换它们？事情可能会变得非常混乱。让我们希望共同立法者能意识到这一点，最终 与开源社区对话 并解决问题。

本文最初发表于 Webmink in Draft。

图片由西蒙·菲普斯创作，并在 Webmink in Draft 上展示。