Cattive notizie per l’open source: il Comitato UE approva il Cyber Resilience Act
Un gran numero di organizzazioni open source afferma che se questo atto diventa legge, danneggerà l’open source, sia in Europa che a livello globale.
Sembra che nella UE ci sia una grande capacità auto-lesionista che francamente non si capisce a quale scopo sia diretta. In pratica, ultimamente, ci stiamo auto-distruggendo su tutti fronti dimostrando di essere delle vere “capre” (cit) con buona pace delle stesse. Oggi ho trovato questa notizia che ci riguarda direttamente e potrebbe creare non pochi problemi. A voi la lettura e le conclusioni.
«Mercoledì l’Unione Europea ha approvato una bozza del Cyber Resilience Act, che dovrebbe rendere il software più sicuro. Molte organizzazioni open source, tuttavia, pensano che questo passaggio sia una cattiva notizia e affermano che, come scritto, l’atto ostacolerebbe lo sviluppo dell’open source. La buona notizia è che questa approvazione non trasforma l’atto in legge, non ancora, comunque.
Quello che è successo finora è che il progetto di legge è stato approvato dal Comitato per l’industria, la ricerca e l’energia (ITRE) dell’UE. Da qui, la proposta passa a quella che l’UE chiama la fase del “trilogo”, in cui viene discussa con il Parlamento europeo prima del voto.
Joe Brockmeier, capo della comunità di Percona in una dichiarazione dopo l’annuncio dell’approvazione, ha dichiarato:
Sono scoraggiato dal fatto che la legislazione proposta sia arrivata fino a questo punto e preoccupato che la risposta del settore finora non sia abbastanza solida da contrastare ciò che potrebbe essere molto dannoso se venisse emanata
Non è che ci sia stata una mancanza di risposta. Finora, le organizzazioni che si sono espresse contro la legislazione proposta includevano The Apache Software Foundation, Eclipse Foundation, GitHub, Linux Foundation e altri.
Inoltre, l’11 luglio 4 importanti associazioni di settore (The Software Alliance, Computer & Communications Industry Associations, Developers Alliance e Information Technology Industry Council) hanno firmato una lettera di 3 pagine intitolata “Raccomandazioni congiunte per un atto di resilienza informatica fattibile”, delineando i problemi e le soluzioni di cui ritengono che l’atto abbia bisogno.
Anche qui alla FOSS Force abbiamo cercato di spargere la voce. Il 15 luglio abbiamo pubblicato un articolo intitolato “Will the European Cyber Resilience Act Kill Open Source Software?” che è stato scritto da Gaël Duval, CEO di Murena e fondatore sia di /e/OS che di Mandrake Linux, e CEO di Murena.
Gaël Duval ha affermato:
I critici sostengono che il CRA potrebbe imporre maggiori responsabilità legali e finanziarie ai contributori open source, potenzialmente soffocando l’innovazione e danneggiando l’ecosistema open source. Inoltre, i requisiti di divulgazione delle vulnerabilità della legislazione potrebbero inavvertitamente esporre le vulnerabilità del software a un pubblico più vasto, aumentando il rischio di sfruttamento dannoso.
Cosa c’è di sbagliato nel Cyber Resilience Act?
I problemi di cui le persone mettono in guardia hanno poco a che fare con l’intento dell’atto, ma contro quello che è visto come un approccio progettato per avvantaggiare i grandi fornitori di software commerciali, rendendo la vita difficile ai progetti open source che sono in gran parte sviluppati all’interno di fondazioni senza scopo di lucro.
Joe Brockmeier ha spiegato:
Mentre la legislazione potrebbe e forse dovrebbe svolgere un ruolo importante nella sicurezza informatica, la legislazione in esame è stata approvata in fretta e non ha avuto tempo sufficiente per consentire alle organizzazioni e agli individui interessati di rispondere. L’attuale bozza rappresenta una minaccia significativa per lo sviluppo di software open source. La portata e l’impatto previsti minacceranno lo sviluppo open source, svantaggeranno i piccoli attori del mercato e probabilmente faranno più male che bene.
Joe Brockmeier sa come muoversi nell’open source. Oltre al suo attuale periodo in Percona, ha trascorso quasi 9 anni in Red Hat e più di 1 anno e mezzo come vicepresidente del marketing e della pubblicità presso la Apache Software Foundation.
Continuando ha aggiunto che:
Lo sviluppo di software open source funziona meglio quando gli sviluppatori sono in grado di collaborare senza tener conto del datore di lavoro o della nazionalità. Abbiamo già riscontrato problemi relativi alla crittografia e alle normative statunitensi, nonché restrizioni alla collaborazione con persone nei paesi sanzionati. È probabile che l’UE che impone la segnalazione delle vulnerabilità a un’istituzione dell’UE porti a una segnalazione distorta delle vulnerabilità della sicurezza. I progetti che sono soggetti a queste restrizioni, ad esempio quelli che hanno sviluppatori europei, saranno probabilmente deviati.
Amanda Brock, CEO di OpenUK, un’organizzazione senza scopo di lucro che supporta la collaborazione open source e le tecnologie aperte nel Regno Unito, è d’accordo.
La loro persistente attenzione nel dare esclusivamente ritagli alle PMI [piccole e medie imprese] e non fare lo stesso per le fondazioni mostra una totale mancanza di comprensione di come funziona il software open source, nonostante abbia avuto un Ufficio del programma Open Source [ Ufficio del programma Open Source della Commissione europea ] per 5 anni. L’attenzione alle PMI piuttosto che alla natura dell’open source è estremamente miope e alimenta un ciclo di perpetuazione della mancanza di crescita delle aziende tecnologiche europee.
L’UE si sta sparando sui piedi?
Joe Brockmeier e Amanda Brock riconoscono che c’è la possibilità che se l’atto viene approvato così com’è ora, l’Europa potrebbe essere il grande perdente. Joe Brockmeier sottolinea la “forte possibilità” che gli sviluppatori potrebbero provare, “per evitare del tutto di fare sviluppo in Europa”. Questo non è qualcosa che sarebbe facilmente raggiungibile, ma è una possibilità reale che il CRA guidi lo sviluppo e la partecipazione all’open source fuori dall’Europa.
Amanda Brock puntualizza quasi lo stesso:
Si dice che i fornitori ora bloccheranno semplicemente il loro codice che entra in Europa in un approccio simile al modo in cui viene gestito il controllo delle esportazioni.
Questo potrebbe essere profondamente dannoso per il settore tecnologico europeo.
Sebbene alcune organizzazioni, come Apache Software Foundation, stiano principalmente sostenendo di ritagliarsi una nicchia speciale per i progetti open source che non sono sotto il controllo di un singolo fornitore, Joe Brockmeier sta sostenendo un ripensamento più globale:
Dover rispettare queste normative metterà in grave svantaggio le startup e le piccole imprese che distribuiscono software. Nella fretta di fare ‘qualcosa’ per la sicurezza, è importante non distruggere o danneggiare beni comuni vitali che servono tutti allo stesso modo. Se il CRA non può essere fermato in questo frangente, dobbiamo almeno cercare di assicurarci che venga migliorato prima che sia troppo tardi.
Articolo di Christine Hall.»
Che dire, come sempre non ci resta che sperare che tutto si risolva per il meglio per il mondo Open Source!
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
![[Guida] Efibootmgr: modificare la sequenza di avvio UEFI da terminale](https://www.lffl.org/wp-content/uploads/2021/01/efibootmgr-300x116.png "[Guida] Efibootmgr: modificare la sequenza di avvio UEFI da terminale")
Una risposta
[…] scorse settimane la Commissione Europea ha approvato la bozza del Cyber Resilience Act, il cui scopo dovrebbe essere quello di rendere più sicuro il software, ma, come racconta Foss […]