开源倡议组织 OSI 标准主管 Simon Phipps 亦提出了批评,认为该立法“可能会损害开源”,因为其关于开源软件部分的文本描述含糊不清,且“立法者完全不了解开源社区的实际运作方式”。目前 OSI 已向欧盟委员会提交了反馈,要求“就法案正文要求的开源例外情况开展进一步工作”,希望“任何不直接从软件商业化部署中受益的参与者”都可以免除合规责任。
Eclipse 基金会主任 Mike Milinkovich 认为: CRA 法案可能会从根本上改变整个开源生态系统的运转方式。现在大部分开源软件都是免费提供,可用于任何目的,且可以修改和进一步分发,但原作者、贡献者或分销商不提供任何保证或承担任何责任。如果通过立法的方式强制改变这种生态,可能会对欧洲的创新经济造成意想不到的后果。
付费为爱发电?欧盟 CRA 法案或将破坏开源生态!
去年 9 月,欧盟提出了一项网络弹性法案 (CRA) ,目标是“加强网络安全规则,以提供更安全的硬件和软件产品”。但该法案随即引起了公众的批评,因为它可能会对开源生态产生严重的影响。
这个法案可以理解为软件产品的 CE (欧盟认证)标准,有四个具体目标:
总而言之,这是一套新的欧盟软件安全认证规定。对于软件开发商和硬件制造商,它将增加新的网络安全要求、合格评定费、合格认证文件和报告义务等直接合规成本。当然,这些成本毫无意外地会转嫁到消费端,法案中如此描述:
但对于大部分为爱发电的开源软件作者来说,这无疑是一项疯狂的规定,数年如一日的辛苦付出没有回报也就算了,还要自掏腰包来进行认定?该法案公布之后, 一些开源社区的领导人对其作出了严厉的评价,并提供了大量的意见反馈。
开源倡议组织 OSI 标准主管 Simon Phipps 亦提出了批评,认为该立法“可能会损害开源”,因为其关于开源软件部分的文本描述含糊不清,且“立法者完全不了解开源社区的实际运作方式”。目前 OSI 已向欧盟委员会提交了反馈,要求“就法案正文要求的开源例外情况开展进一步工作”,希望“任何不直接从软件商业化部署中受益的参与者”都可以免除合规责任。
Eclipse 基金会主任 Mike Milinkovich 认为: CRA 法案可能会从根本上改变整个开源生态系统的运转方式。现在大部分开源软件都是免费提供,可用于任何目的,且可以修改和进一步分发,但原作者、贡献者或分销商不提供任何保证或承担任何责任。如果通过立法的方式强制改变这种生态,可能会对欧洲的创新经济造成意想不到的后果。
此外,Milinkovich 还指出,CRA 会限制未完成开发的软件,未完全开发的软件只能用于测试用途,这又是一项对现有开源生态具有强烈破坏性的规定。在开源社区中,使用临时构建的软件版本是很常见的行为,且现有的开源许可证也不会限制软件的用途。
互联网协会执行顾问 Olaf Kolkman 也表达了担忧,他表示“应该修改法规,以明确在开源许可证下生产,并在非营利基础上分发的软件不在该法规范围内”。
目前欧盟委员会还在针对公众的意见不断修改这份法案,最新的修订时间是 23 年 1 月 30 日。如果处理不当,该法规可能会导致欧盟地区无法访问 Central、npm、PyPi 等常用的库系统,这对于欧盟和整个开源生态系统都将是灾难性的打击。
CRA 法案下载地址:https://ec.europa.eu/newsroom/dae/redirection/document/89543