针对网络韧性法案的最终回应列表

欧盟委员会拟议的网络韧性法案 (CRA) 草案可能会损害开源,甚至可能损害所有其他非工业软件。

对于委员会已发送给议会的拟议文本,共有 131 份回应,其中包括来自开放源代码促进会的回应。其中,18 份回应——代表了欧洲软件行业的很大一部分——在某种程度上表达了与 开放源代码促进会相同的担忧。以下是来自回应的一些示例要点

开源慈善机构 和民间团体

(2023 年 5 月更新,添加了 Python 软件基金会)

开放源代码促进会 (OSI)

  • “我们认识到,欧盟委员会已在序言第 10 条中构建了一个例外,试图确保这些条款不会意外影响开源软件。然而,凭借二十多年的经验,我们在开放源代码促进会清楚地看到,目前的文本将给开源软件带来广泛的问题。”
  • “开放源代码促进会建议进一步研究法案主体内的开源例外条款,以排除软件商业部署之前的所有活动,并明确确保 CE 标志的责任不应由任何非直接商业受益者的行为者承担。保持文本现状可能会抑制甚至阻止在全球维护的开源软件在欧洲的可用性。”

欧洲开放论坛 (OFE — 与 OSI、Eclipse、APELL、CNLL、OSBA 合作) 

  • “用一套新的 CRA 要求取代当前发布软件的普遍自由,这对欧洲的开放式创新构成了重大干扰。CRA 当前的制定方式几乎干扰了除一家公司闭门开发整个代码库并定期发布之外的每一种软件开发模型。这种模型在 20 世纪 90 年代末很常见,但现在已不那么常见了。”
  • “如果在欧洲使用的软件中发现了安全漏洞,那么当前形式的 CRA 的责任和技术要求将为欧洲任何致力于修复漏洞的人设置障碍。”

文档基金会 (LibreOffice)

  • “另一方面,CRA 忽略了该法案涵盖的软件本身创建的文件所关联的安全风险,这些风险可能会造成更具破坏性的后果(根据安全专家卡巴斯基实验室的数据,2018 年,全球 70% 的恶意软件是通过最广泛使用的办公套件创建的文档传播的)。”
  • “出于网络韧性法案的目的,基于 LibreOffice 技术的软件很有可能被视为在商业活动过程中制造,因此受该法规的约束”

Vrijschrift.org

  • “在定义关于开源软件的商业活动概念时,CRA 提供了通常被理解为非商业性但将属于商业活动定义的开源软件的创建和/或使用的示例”
  • “这为开发人员带来了法律上的不确定性,并且势必会对那些通常在处理软件中的安全缺陷方面比专有行为者更负责任的生态系统产生寒蝉效应。”

NLNet 实验室 (与 CZ.NIC、ISC、NetDEF 合作)

  • “虽然我们赞赏欧盟委员会为加强具有数字组件的产品的网络安全所做的努力,但我们担心 CRA 可能会对开源互联网基础设施软件的安全性和稳定性,以及互联网本身,造成一系列意想不到的不利后果。”
  • “我们认为,法规的应用将对“关键产品”的开发人员和管理者施加不成比例的监管合规负担,这将耗尽他们现有的能力,同时未能提高此类软件的安全性和稳定性”

Python 软件基金会

  • “虽然我们支持这些旨在提高欧洲软件消费者的安全性和责任感的政策的既定目标,但我们担心过于宽泛的政策会无意中损害其旨在保护的用户。我们认为,重要的是要考虑供应商中立的非营利组织(尤其是公共软件存储库)在现代软件开发中所扮演的角色。”

电子前沿基金会

  • “CRA 对将易受攻击的产品推向市场的商业活动施加了责任。虽然拟议法律的序言第 10 条将非营利性开源贡献者排除在被认为是“商业活动”之外以及责任之外,但该豁免对商业活动的定义过于宽泛。”

行业协会

开发者联盟

  • “重要的是,要保持软件开发人员为开源项目做出贡献并在其工作中继续利用此类资源和工具的激励机制,而没有法律责任的压力。”

RIPE NCC

  • “RIPE 社区成员指出,当前的开源生态系统是一个复杂的生态系统,其中商业产品和非商业产品之间通常没有明确的区别,因为产品开发是一个持续的过程,它以设计、技术、标准和代码为基础,以无数种方式和无数种目的进行共享。这种丰富的互动和开放访问是开源生态系统的特性,它们促进了创新,并增强了韧性和安全性。”
  • “我们理解 CRA 旨在涵盖任何软件和硬件产品及其远程数据处理解决方案,这些产品和解决方案连接到互联网(逻辑上或物理上),并作为独立产品投放市场以供最终用户分发。换句话说,我们理解连接到互联网但未作为旨在分发给最终用户的产品投放市场(例如,客户门户)的软件将不属于 CRA 的范围。但是,该提案并未明确说明这一点,因此需要进一步明确。”

ITI – 信息技术产业理事会

  • “然而,值得注意的是,许多开源项目创建的产品可能属于大多数类别的关键软件产品,并且开源软件通常被纳入其他在市场上销售的产品中。这可能会给开源开发人员带来关于其与合格评定相关的义务的不确定性。立法者应努力保持开发和维护开源软件的激励机制,防止将其归类为“商业活动”的任何可能性。”

欧洲数字产业协会

  • “然而,序言对“商业活动”的广泛解释并未准确反映 OSS 环境中的运营最佳实践、治理和许可。”

欧洲日本商业委员会 (JBCE)

  • “与商业软件同行相比,开源企业可能存在严重失衡,开源企业开发了非常广泛实施的软件组件,但通常获得的商业利益仅为商业软件企业(在也包括相同组件的情况下)的一小部分。考虑到开源还推动了几乎所有关键产品领域的创新和快速进步,因此有必要在针对开源产品的特定 CRA 要求周围增加额外的限制,包括那些用于“商业活动”的产品,以避免限制或加重基本开源活动的负担,并最终扼杀欧盟内部的开源创新和贡献。”

德国信息技术、通讯和新媒体协会

  • “序言第 10 条排除了未在商业活动过程中使用的开源软件,但未定义该术语或详细说明如何评估预期用途和/或预期用途的确定和/或预先未完成确定时的默认类别。”

Eco

  • “这些定义虽然总体上听起来不错,但开源软件的开发人员对此表示担忧,他们认为在非营利基础上分发的开源软件和商业软件之间缺乏区分。eco 建议进一步探讨在非营利基础上在市场上部署开源软件对开源软件开发造成的进一步影响和有害影响。”
  • “第 4 条第 3 款中“未完成软件”的定义与当前产品和软件开发的状态不符。它特别与开源软件的部署和使用的前提和条件相矛盾。eco 建议进一步探讨该主题,以避免对欧洲软件行业产生意想不到的有害影响。”

OpenSSF (Linux 基金会)

  • ““商业活动”的范围不明确,并且有可能将不属于范围的活动纳入范围,以便澄清这一点,将“付费或货币化产品”指定为“商业活动”。……这是一个复杂的问题,当前术语“商业”造成了巨大的混乱。”

OpenInfra 基金会

  • 虽然欧盟委员会已尝试(通过序言第 10 条中表达的豁免)在拟议文本中保护开源软件,但它在共同立法过程中没有咨询更广泛的开源社区,因此使用的语言很可能产生相反的效果。

公司

OpenXchange

  • “该法案将歧视某些类型的软件和软件制造商,这些软件和软件制造商的主要动机不是经济利益,但仍然产生某种形式的财务回报以支持其代码的开发,因此不能被视为“非商业性”的。例如,这包括大学和公共研究中心开发的软件,包括一些使整个互联网运转的基本应用程序;个人开发人员(主要在业余时间)开发的软件;旨在提高隐私和言论自由的软件,例如加密通信应用程序、去中心化社交媒体和匿名浏览器;等等。就此而言,针对非商业性开源软件的薄弱例外完全不足以解决该问题。”

GitHub

  • “然而,“商业活动”的范围不明确,并且有可能将不属于将产品投放市场的活动纳入范围。”
  • “[付费] 服务和一般财务支持并没有改变这些开源项目和开发人员没有将软件作为付费产品投放市场的事实。”
  • “附件 I 要求交付“没有任何已知的可利用漏洞”,但这有可能是一个无法实现的目标,因为制造商经常了解新的漏洞,并根据风险评估来确定修复的优先级,以便及时交付产品更新。……同样,附件 I 中概述的漏洞处理要求也引起了担忧。特别是,关于“立即修复漏洞”的要求可能会破坏制造商在何时推送以及如何协调安全更新方面的协调漏洞披露和基于风险的评估的既定实践”

华为

  • “正如目前的草案所示——也许是无意的——该文本针对的是非营利性开源基金会,而不是利用开源进行商业活动的组织。”

微软

  • “由于 OSS 与“商业活动”的交叉,在为开源项目提供的基础设施和服务以及开源项目在构建 OSS 时可能从事的活动方面都存在歧义。”
  • “为开源项目提供的基础设施和服务应超出范围,无论其商业地位如何。”
  • “支持有效使用 OSS 的商业服务,例如技术支持和咨询服务,也应超出范围,并且不应将 OSS 产品纳入范围。”

Sonatype

  • “具体而言,包括 Sonatype 在内的各个组织为了 FOSS 社区的利益而免费维护和提供 FOSS(包括通过维护公开访问的项目或存储库),同时还对可选的辅助服务收费。当前起草的商业活动限定符可能会被理解为取消这些组织的 FOSS 豁免,这将使他们面临一个令人羡慕的选择:要么承担大量成本并付出巨大努力来遵守维护免费 FOSS 存储库的法规实质,要么关闭公共存储库(完全关闭或仅对来自欧盟的实体关闭)。”