Cyber Resilience Act, avagy az opensource világvége ?

Az Cyber Resilience Act, magyarul az Internetes Ellenálló Képességi Törvény szerintem a klasszikus példája annak, amikor kiöntjük a fürdővízzel együtt  a gyereket is.

A rendelet alapvetően azzal a szent céllal született meg, hogy a hardver- és szoftvertermékeket kevesebb sebezhetőséggel hozzák forgalomba és biztosítani, hogy a gyártók komolyan vegyék a biztonságot a termék teljes életciklusa során és olyan feltételeket teremteni, amelyek lehetővé teszik a felhasználók számára, hogy a digitális elemeket tartalmazó termékek kiválasztásakor és használatakor figyelembe vehessék a kiberbiztonságot.

Négy konkrét célkitűzést határoztak meg:

  • i. annak biztosítása, hogy a gyártók a tervezési és fejlesztési szakasztól kezdve, valamint a teljes életciklus során javítsák a digitális elemeket tartalmazó termékek biztonságát,
  • ii. koherens kiberbiztonsági keret biztosítása, amely megkönnyíti a megfelelést a hardver- és szoftvergyártók számára,
  • iii. a digitális elemeket tartalmazó termékek biztonsági tulajdonságai átláthatóságának fokozása, valamint
  • iv. annak lehetővé tétele, hogy a vállalkozások és a fogyasztók biztonságosan használhassák a digitális elemeket tartalmazó termékeket.

Ezekkel a célokkal aligha lehet vitatkozni, kifejezetten logikus és jól érthető, világos célok. Mondhatni üdvözlendő.

Akkor mi is lehet ezzel a probléma és miért forrong az OSS (Open Source Software) világa ? Egyesek már OSS világvégét vízionálnak és a közösség elleni merényletről beszélnek.

A baj azzal van, hogy kezdetben a rendelet megalkotói szinte egyáltalán nem voltak hajlandóak arra, hogy párbeszédet folytassanak az érintett közösségek és alapítványok vezetőivel, a javaslataikról, illetve az, hogy maga a tervezet  is rengeteg helyen volt pontatlan, illetve félreértelmezhető.

Amit elsőként megemlítenék, hogy a 10 -es pontba került egy kitétel, miszerint:

Az innováció és a kutatás akadályozásának elkerülése érdekében a nem kereskedelmi tevékenység keretében fejlesztett vagy biztosított szabad és nyílt forráskódú szoftverek nem tartoznak e rendelet hatálya alá. Ez különösen igaz a nyíltan megosztott és szabadon hozzáférhető, használható, módosítható és terjeszthető szoftverekre, beleértve azok forráskódját és módosított változatait is.

Ugyanakkor rögtön meg is fogalmazza, hogy minden más esetben kereskedelemről beszélünk, tehát:

A szoftverekkel összefüggésben a kereskedelmi tevékenységet nemcsak az jellemezheti, hogy pénzt kérnek a termékért, hanem az is, hogy díjat számítanak fel a műszaki támogatási szolgáltatásokért, olyan szoftverplatformot biztosítanak, amelyen keresztül a gyártó pénzzé tesz más szolgáltatásokat, vagy a személyes adatoknak nem kizárólag a szoftver biztonságának, kompatibilitásának vagy interoperabilitásának javítása céljából történő felhasználása.

Ennek abban lesz később szerepe, hogy kit lehet majd felelősségre vonni az esetlegesen keletkezett károkért, így egyszerűbb, hiszen azt lehet, aki ezzel pénzt keres.

Gyakorlatilag mindenki, hiszen az OSS közösségek szerverei, repói sem ingyen működnek, hanem adományokból, így működik szinte az összes alapítvány, több ilyen közösség saját termékeket, laptopokat, pólókat és bögréket is árul és a legtöbb népszerű projekt mögött áll valamilyen nagy cég, sokszor nem is egy vagy kettő.

A CRA azt is megkísérli biztosítani, hogy az európai piacon található szoftverek mindegyike megfeleljen valamilyen minimális biztonsági szintnek egy meglehetősen egyszerű, CE megfelelőségi nyilatkozatban dokumentált öntanúsítással. Kritikusabb szoftverek esetében, mint például a tűzfal vagy a biztonságos kriptográfiai kulcsok enklávéja, tényleges „valódi” tanúsítás és audit egy külső, szabályozott és bejelentett szervezet által. 
Az EU döntéshozói elismerik, hogy ezek az „ipari bevált gyakorlatok” még nincsenek pontosan meghatározva  és nagyobb részt a nemzetközi szabványügyi szervezetekre támaszkodik a projektek auditálására (öntanúsítás) vagy külső auditorok által használható szabványok megalkotásakor.

A fentiek tisztázása érdekében vegyünk egy egyszerű példát, Piton Pista ír egy külső hangkártyához egy mindenki számára teljesen ingyenesen hozzáférhető és felhasználható szoftvert hobbiból és ezért kap egy kis pénzt egy nagy cégtől akár több alkalommal is, akkor az új rendelet értelmében ő határozottan kereskedelmi tevékenységet folytat.

Kötelessége mindent a jelenlegi ipari szabványok szerint programozni, teljes mértékben azokhoz igazodva és a teljes kódot szakszerűen, akkurátusan ledokumentálni majd közzétenni és természetesen a kód nem tartalmazhat semmilyen sebezhetőséget és hibát.

Ismerek pár fejlesztőt, aki erre csuklóból rávágná azt a rövidke eligazító mondatot, hogy – Na meg a jó édes k*#^°….

Maradjunk annyiban, hogy ez nem életszerű. Ez távolról sem így működik.

Egy másik megközelítés szerint, ha egy nagy autógyár szabadnapos mérnöke készít egy távirányítós autóhoz egy szoftvert, amivel mobiltelefonról is vezethetjük, irányíthatjuk a kis autót és mindezt teljesen ingyenesen közzé teszi, akkor ő  egy kereskedelmi cég alkalmazottjaként vezető fejlesztőnek és a projekt felelősének tekintendő és felelősségre vonható a  szoftver esetleges hibáiért és az abból fakadó anyagi veszteségekért.

Azért a két fenti példából érezhető, hogy a rendelet legnagyobb tervezési hibája, hogy iparági szabályozást akarnak ráhúzni egy a bizottságok által jól láthatóan ismeretlen területre.

Lényegében szinte csak az ipar és a kkv szektor képviselőivel egyeztettek és nem veszik figyelembe az OSS világ sajátosságait.

Véleményem szerint ez a puska pont fordítva fog elsülni és óriási negatív hatása lesz az unió innovációs és ipari szektorára és többek fognak bukni, mint amennyit nyertek volna rajta.

A lehetséges jogi kockázat eltántorítaná az OSS fejlesztőit attól, hogy hozzájáruljanak nyílt forráskódú projektekhez és fenntartsák azokat.
Ez a helyzet nemcsak aláássa a nyílt forráskód szellemét, hanem a nyílt forráskód  világában válságot idézhet elő, és elszigetelheti az EU-t a világ többi részétől.

Az EU-n kívüli nyílt forráskódú gyártók kizárhatják az EU piacát, ami azt jelenti, hogy nem férnek hozzá a Linuxhoz, az Apache-hoz, a Kuberneteshez és sok más projekthez. Az olyan adattárak, mint a Maven Central, az npm és a PyPi, arra késztethetnek, hogy betiltsák az EU-s felhasználást, nehogy terjesztőnek tekintsék őket. 

Amennyiben valaki magányos, munkanélküli programozóként, minden támogatástól és bevételtől mentesen írogat és aztán feltölti a kódját a GitHub -ra, Gitlab -ra, a Bitbucket -re vagy a Sourceforge -ra, akkor ebben az esetben ezek a közzétevők, azaz disztribútorok innentől felelősek lesznek a közzétett kód minőségéért, tehát kötelességük lesz ezentúl ellenőrizni hogy a kód minden esetben megfelel e az új szabályozásban foglaltaknak és eljárni azoknak megfelelően, bármit is jelentsen ez.

A kötelezettségek egy részét gyakorlatilag lehetetlen teljesíteni: például kötelezettség „ismertethető kihasználható sebezhetőség nélküli termék szállítására”.
Ezt szinte lehetetlen betartani,  mivel a nyílt forráskódú szerzők  sokszor egyáltalán nem is tudják ellenőrizni, hogyan integrálják a kódjukat más projektekben, ha egyáltalán tudnak róla.

Egy biztonságosabb internet kialakítása fontos és lényeges dolog, számomra sem lényegtelen, hogy mennyi ideig támogatott egy router vagy egy drón, milyen szoftver és meddig használható a vásárolt termékekben, de az nem járható út, ha mindezért mindenkit felelőssé és büntethetővé teszünk, aki valahol valahogyan és valamilyen módon részt vett egyszer egy talán mára nem is létező program megalkotásában.

Az nem megoldás, ha a felelősség miatt aggódó uniós projektek forráskódjukat eltávolíthatják az internetről, és az uniós vállalkozások kénytelenek lesznek leállítani a nyílt forráskódú projektekhez való hozzájárulásukat.

A fejlesztők számos fizetős és nem fizetett kontextusban dolgozhatnak, beleértve a vállalati, kormányzati, nonprofit, tudományos, közösségi és egyéni környezeteket. A nonprofit szervezetek fizetett tanácsadói szolgáltatásokat kínálnak nyílt forráskódú szoftvereik technikai támogatásaként. A fejlesztők pedig egyre gyakrabban kapnak szponzorokat, támogatásokat és egyéb pénzügyi támogatást erőfeszítéseikhez. Ezek az árnyalatok eltérő mentességet igényelnek a nyílt forráskód esetében.

Ha kivonjuk a támogatási pénzeket az OSS ökoszisztémájából, azzal csak saját maga alatt vágja a fát au EU és ez így igencsak kontraproduktív lehet.

És akkor jöjjenek végül a linkek – az a bizonyos CRA:
Cyber  Resilience Act közvetlenül olvasható, magyar nyelvű HTML verzió az alábbi linken érhető el:
https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:52022PC0454

Egyéb nyelvek és verziók itt: https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX:52022PC0454

Az Apache Foundation blogbejegyzése:
Save Open Source: The Impending Tragedy of the Cyber Resilience Act:
https://news.apache.org/foundation/entry/save-open-source-the-impending-tragedy-of-the-cyber-resilience-act

A devops.com cikke a témában: https://devops.com/the-cyber-resilience-act-threatens-the-future-of-open-source/

A Github jó kis összefoglaló írása: https://github.blog/2023-07-12-no-cyber-resilience-without-open-source-sustainability/

A Linux Foundation felhívása: https://linuxfoundation.eu/cyber-resilience-act

És akkor egy részletes, egy alaposabb videó az Eclipse Foundation -től:


Továbbra is várunk mindenkit nagy szeretettel csevegő oldalunkon élőben:
https://skamilinux.hu/chat/

Aktív fórum témák:
https://skamilinux.hu/phpBB3/search.php?search_id=active_topics

Legutóbbi PuppySzoftverek:
https://sourceforge.net/p/puppyszoftver/activity

Vélemény, hozzászólás?

Translate »