什么是网络弹性法案？为什么它对开源是危险的

网络弹性法案 (CRA) 是一项有趣且重要的欧洲法律提案，旨在通过将 “CE” 自我证明标志扩展到软件，从而提高各种软件的安全性和完整性。并且它可能会损害开源。该提案包括要求软件供应商进行自我认证，以证明其符合 CRA 的要求，包括安全性、隐私性和不存在关键漏洞事件 (CVE)。

OSI 已提交了 以下信息给欧盟委员会的关于其提议的网络弹性法案文本的意见征询。

我们认识到，欧盟委员会在序言第 10 条中制定了一项例外，试图确保这些规定不会意外地影响开源软件。然而，凭借二十多年的经验，开源促进会 (Open Source Initiative) 清楚地看到，目前的文本将给开源软件带来广泛的问题。这些问题源于措辞的歧义以及与开源社区实际运作方式及其参与者的动机不符的框架。

首先，对于那些以社区职能分发软件的人来说，为了能够自信地依赖排除条款，这绝对必须作为条款插入，并且 “should”（应该）必须更改为 “shall”（应）。

其次，由于目标是——或者应该是——避免损害欧盟委员会正在努力支持的开源软件，因此该目标应在该段开头声明为理由，取代关于避免损害 “研究和创新” 的介绍性措辞，以避免过度缩小例外范围。

第三，对 “非商业性” 作为限定词的引用应被替换。“商业性” 一词总是导致软件的法律不确定性，并且不应在开源的背景下使用该术语，因为某些用户对开源项目的特定商业用途经常与更广泛的维护者社区的动机和潜在报酬脱节。因此，软件本身独立于其后来的商业应用。问题不在于缺乏 “商业性” 的分类，而在于将 “商业性” 作为资格，而不是例如 “贸易部署” 的行为。因此，添加商业性分类并非解决方案。OSI 乐于合作寻找更好的方法来限定例外情况。

为了说明我们社区的担忧，我们希望重点介绍OSI 附属机构 Eclipse 基金会在布鲁塞尔进行的分析。虽然他们指出，凭借人员和财政资源，他们 “比大多数人更有能力” 来应对此类要求，但他们得出结论：“我们担心该立法规定的义务将严重削弱 Eclipse 基金会及其社区。”

OSI 的建议

开源促进会 (Open Source Initiative) 认为，该法案并非旨在对创建开源软件的社区或支持它们的非营利基金会产生负面影响。

因此，OSI 建议进一步研究该法案正文中的开源例外条款，以排除软件商业部署之前的所有活动，并明确确保 CE 标志的责任不应由任何非直接商业受益于部署的行为者承担。保持文本原样可能会削弱甚至阻止全球维护的开源软件在欧洲的可用性。我们还支持我们与欧洲开放论坛共同签署的更详细的分析。