欢迎分享您对欧盟开源保护的看法

GitHub与开源软件社区携手合作，致力于支持欧盟政策制定者制定《网络弹性法案》(CRA)。CRA的目标是通过对在单一市场内提供产品的供应商施加严格要求，提升欧盟范围内数字产品（包括96%的开源产品）的网络安全性。这可能导致最高1500万欧元的罚款，相当于其全球收入的2.5%。这一目标受到广泛欢迎。通常在运输产品时，安全性往往被忽视。然而，正如所述，这一措施可能会对开源构成威胁，而非增强其弹性。

作为欧盟长期“开放”战略的一部分，CRA对在商业活动之外开发或提供的开源软件给予豁免，但在定义范围上存在挑战，已成为社区关注的焦点。在定于7月19日由行业委员会（ITRE）投票的议会文件中，存在三个主要问题。以下将讨论这三个问题。在没有异议的情况下，这可能成为最终意见，无需进一步审议或在全体会议上进行表决。强烈建议您今天与您选出的代表分享您的想法。

问题1：CRA管理接受捐赠的开源项目

开源的可持续性是一个重要问题。流行软件项目的维护者常常因处理问题和pull请求而感到不堪重负，最终精疲力竭。捐赠已成为解决这一问题的方案之一，定期获得来自政府、基金会、公司和个人的支持。然而，正如CRA最近的一份草案（下文引用的序言10b）所示，如果维护者选择接受捐赠，可能会引入繁重的合规要求和潜在的惩罚，从而影响可持续性。因此，流向已经预留资源的维护者的资金可能会减少。

问题2：CRA规范企业开发人员的开源项目

开源项目通常是多方参与的。捐款来自于以个人身份工作的开发人员、为基金会做志愿者的开发人员以及为各类公司工作的开发人员。当前的文本（序言10和10a）将规范开源项目，除非它们具有“完全分散的开发模式”。公司员工参与的项目必须遵守CRA的义务。这与开源的双重利益相悖。项目可能会禁止公司的维护者和贡献者，而公司也可能会限制员工为开源做出贡献。结果是软件生态系统缺乏创新性和安全性。

问题3：CRA妨碍了协调漏洞披露

CRA旨在解决一个普遍存在的问题，即上游开源项目发布了安全修复程序，但使用该开源项目的产品未能及时升级。然而，当前的议会文件（第11条）通过要求软件开发人员（“制造商”）在发现漏洞后数小时内向ENISA报告所有被积极利用的漏洞，反而促进了漏洞的协调披露的破裂风险。在未修补漏洞的情况下，这种做法将违反既定策略，该策略仅披露有助于修复安全漏洞的信息。广泛披露未修补的漏洞不会增强开源生态系统的弹性，反而会使其更加危险。

在……的过程中通过尽职调查，如果产品制造商发现其任何组件（包括免费和开源组件）中的漏洞，则必须通知开发人员该组合在适用的情况下，解决和补救漏洞。为开发人员提供应用的安全修复程序。o一种产品一旦投放市场，制造商就必须承担责任确保在整个支持生命周期（包括免费和开源组合）中解决漏洞的能力将数字元素集成到产品中。

第2(3a)条本规例适用于免费及开放源码软件只有在商业活动过程中在市场上可用时才可。

国会ITRE委员会关于漏洞披露的草案

第3(39)条“主动利用漏洞”系指有可信证据表明攻击者在未经系统所有者授权的情况下对系统执行恶意代码的漏洞。我的意思是

第11(1)条制造商应根据本条第1a段的规定，将其含有数字元素的产品中被积极利用的漏洞通知ENISA。除非存在与网络安全风险相关的正当理由，否则ENISA将在收到通知后，立即采取措施根据相关成员国指令（EU）2022/2555第12条，联系为协调漏洞披露而指定的CSIRT。转发通知并通知市场监督当局已通知的漏洞。如果通知的漏洞无法修复或缓解，ENISA应确保信息a关于被通知的漏洞的信息在知识库上共享Sed基础按照严格的安全协议。

第11(1a)(1)条所提述的通知须遵从下列程序:
(a)在任何情况下，在制造商意识到存在被积极利用的漏洞后24小时内，不得无故拖延，包括是否有已知的修复或建议的缓解措施;早期预警。

(b)漏洞通知，不得无故拖延，无论如何应在制造商发现被积极利用的漏洞后72小时内通知;更新(a)点所述的一般信息，包括纠正或缓解，如果适用的话。表明已采取的行动和对脆弱性程度的评估，包括其严重程度和影响。

(c)在一(1)个月内提交最后报告在提交第(b)项下的漏洞通知后，或如果有修复或缓解措施，则至少包括以下内容:

(i) a des漏洞的描述，包括严重程度和影响;

(ii)信息关于利用或正在利用该漏洞的攻击者，如果有的话;

(iii)为纠正漏洞而提供的安全更新或其他补救措施的详细信息;

第11(1b)条在安全更新可用或引入其他形式的补救或缓解措施后，ENISA应根据指令（EU）第12条第1段宣布通报的漏洞。应添加到欧洲脆弱性数据库如第3条所述。2022/2555。

符合微型、小型和中型企业资格的制造商应免除第1a(a)和2b(a)条的规定。

https://github.blog/2023-07-12-no-cyber-resilience-without-open-source-sustainability/没有开源的可持续性就没有网络弹性