License

TLDR_（如果感觉本文太长者，能够只看摘要）_ 包含开源软件在内的软件正在受到全世界的监管。这篇简短的博文解释了欧盟《网络韧性法案》的背景、长处、缺点以及对开源软件可能产生的负面影响。此外，它还解释了该法案在欧盟零碎中的简单流程，以帮忙人们理解时间表和如何推动扭转。 如果您须要更多的口头介绍，Eclipse 的 Mike Milinkovich 提供了一个十分新鲜、清晰的演示，涵盖了雷同的内容。如果您更喜爱简短的口头呐喊，那么无妨试试 GitHub、CNLL（法语内容）、Linux 基金会或更宽泛的行业响应。 背景尽管与其余大型行业和部门相比，IT 行业的规模还很小，但在过来的几十年里，它已成为社会的要害。当初，在新闻中常常能够看到软件和 IT 行业的大型事件。而且，更常见的是由某种劫难引发的故事：配置谬误、破绽或显然太容易 "进入" 的犯罪分子和国家行为。当初，不良的 IT 实际也影响到了次要行业，从能源运输、制造业到金融业，再到专制过程和治理良好的政府。 正因为如此，社会和各种管理机构当然也留神到了这一点，因而，世界各地都在制订各种软件管理条例和立法。 历史以工程史为例，这种监管是再失常不过的后果。19 世纪末，机械行业获得了惊人的倒退，这在肯定水平上要归功于蒸汽机的创造。但随着这一行业的倒退，蒸汽锅炉爆炸事变也随之增多。这些事变通常会夷平半个城镇。 1865 年，蒸汽船 Sultana 号发生爆炸，造成 1,167 人丧生。因而，美国锅炉制造商协会（以下简称 ABMA）成立，开始对该行业进行自律。通过数百次此类爆炸，以及 1905 年在波士顿一家鞋厂产生的一次代价特地昂扬的爆炸，政府才开始采取干涉政策。 乏味的是，应答 1905 年劫难的并不是 ABMA，而是由五名工程师组成的小组，他们是美国机械工程师协会的成员，这是一个由集体而非公司组成的业余组织。这些人撰写了第一版《锅炉标准》，随后不久便失去了马萨诸塞州立法机构的认可。 从很多方面来说，这些工程师、这些集体志愿者 "自救" 来解决问题；就像咱们明天在 ASF 的开源以及 IETF（互联网工程工作组）在制订互联网规范中所做的一样。是业余个人解决了问题：而不是他们的雇主、行业或美国锅炉制造商协会。 现状目前，世界各地简直都有大量立法正在进行中；美国和欧盟稍稍当先（各国决策者之间也进行了大量协调）。 在这篇博文中，咱们临时只关注其中一项：欧盟的《CRA - 网络还原力法案》，因为从时间轴的角度来看，这是 "先行者"。 这绝不是最重要的立法。在 ASF，咱们认为欧盟的《PLD - 产品责任指令 Product Liability Directive》（引入了对软件 "严格课责" 的标准）、美国的第 14028 号行政命令 "进步国家网络安全” 和 "2023 年开源软件平安法案"（美国）可能会产生更大的影响。 这一点可能尤为正确，因为美国立法能够通过国家标准与技术研究院（NIST）为外国制订规范，而国家标准与技术研究院制订规范的速度通常快于欧盟制订规范的速度（因而很可能制订出寰球规范）。 这种事件能做吗？在日常实际中，软件开发人员很少须要思考监管问题（除非 TA 们从事某些特定畛域的工作，如医疗、航空航天、金融或核能）。开源许可证（在咱们的上游）和提交者许可证协定（在咱们的上游）往往有范畴宽泛的免责申明。咱们通常将代码等同于编撰成文的常识或舆论。 但在实际操作中，事件并非如此简略。例如，在 ASF，咱们多年来始终须要提交一些文件，让美国工业与安全局（BIS）晓得咱们提供下载的加密代码的确切地位_[https://infra.apache.org/crypto.html]_。由 ASF 公布的代码不能进口（或再进口）到特定目的地或特定名单上的人。 网络韧性法案在欧盟，《CRA - 网络韧性法案》目前正在法律制订过程中（将于 2023 年 7 月 19 日进行要害投票）。该法案将实用于欧盟的大量软件（以及带有嵌入式软件的硬件）。该法规的初衷是好的（也能够说是早该如此）：使软件更加平安。 ...