Cadangan Akta Ketahanan Siber ( Cyber Resilience Act - CRA ) oleh Kesatuan Eropah telah mencetuskan perdebatan sengit dalam komuniti sumber terbuka, dengan para pembangun menentang percubaan untuk menganggap mereka sebagai pembekal komersial. Kontroversi ini berpusat pada sama ada penyumbang sukarela perlu menanggung tanggungjawab undang-undang untuk isu keselamatan dalam perisian yang mereka edarkan secara percuma.
Pemain Utama dalam Penentangan CRA:
- Python Software Foundation (mengancam untuk menyekat pengguna EU)
- Apache Software Foundation
- Linux Foundation
- Eclipse Foundation
Salah Faham Rantaian Bekalan
Di tengah-tengah perdebatan ini terdapat salah faham asas tentang cara perisian sumber terbuka berfungsi. Rantaian bekalan pembuatan tradisional melibatkan hubungan berbayar antara pembekal dan pelanggan, dengan kontrak, waranti, dan kewajipan undang-undang. Walau bagaimanapun, pembangun sumber terbuka berhujah bahawa mereka beroperasi di bawah prinsip yang sama sekali berbeza - mereka adalah sukarelawan yang berkongsi kod secara percuma, bukan pembekal komersial yang terikat dengan perjanjian perniagaan.
Ancaman Python Software Foundation untuk menyekat pengguna EU pada tahun 2023 menggambarkan ketegangan ini. Apabila berhadapan dengan keperluan berpotensi untuk melakukan kerja keselamatan dan membaiki pepijat atas permintaan di bawah ancaman denda yang memudaratkan, yayasan tersebut mempertimbangkan tindakan drastik. Kebuntuan ini memaksa penggubal undang-undang EU untuk mempertimbangkan semula pendekatan mereka sebahagiannya, menonjolkan dinamik kuasa yang sedang berlaku.
Pembelaan Sebagaimana Adanya
Lesen sumber terbuka secara universal merangkumi penafian yang menyatakan perisian disediakan sebagaimana adanya tanpa waranti. Bahasa undang-undang ini secara eksplisit menolak sebarang hubungan pembekal-pelanggan. Pembangun menekankan bahawa pengguna menerima syarat-syarat ini apabila memuat turun perisian, mengakui bahawa mereka menanggung semua risiko.
Komuniti berhujah bahawa syarikat yang menuntut akauntabiliti daripada sukarelawan yang tidak dibayar sambil enggan memberi pampasan kepada mereka mewujudkan dinamik yang tidak mampan. Banyak projek sumber terbuka kritikal bergelut dari segi kewangan, dengan penyelenggara hampir tidak mampu membiayai keperluan asas walaupun perisian mereka menyokong sistem komersial utama.
Penafian Lesen Sumber Terbuka Standard: "PERISIAN INI DISEDIAKAN 'SEBAGAIMANA ADANYA', TANPA SEBARANG JAMINAN, SAMA ADA NYATA ATAU TERSIRAT, TERMASUK TETAPI TIDAK TERHAD KEPADA JAMINAN KEBOLEHDAGANGAN, KESESUAIAN UNTUK TUJUAN TERTENTU DAN KETIDAKPELANGGARAN."
Mencari Jalan Tengah
Sesetengah ahli komuniti mencadangkan model alternatif untuk menyelesaikan ketegangan ini. Konsep memisahkan pengedaran perisian daripada pembangunan telah mendapat tarikan - sama seperti cara pengedaran Linux seperti Ubuntu atau Red Hat membungkus dan menyokong perisian yang dicipta oleh orang lain. Di bawah model ini, pengedar akan menanggung tanggungjawab untuk pakej yang mereka hantar, manakala pembangun asal kekal bebas daripada kewajipan komersial.
Paksaan: melompat melalui halangan kertas kerja EU , melakukan kerja keselamatan, dan membaiki pepijat atas permintaan atau menghadapi denda yang memudaratkan.
Pendekatan lain yang muncul melibatkan mengenakan yuran penyelenggaraan untuk infrastruktur projek sambil memastikan perisian itu sendiri kekal percuma. Model ini mengakui bahawa walaupun kod mungkin tersedia secara percuma, menyelenggara repositori, penjejak isu, dan sokongan komuniti memerlukan sumber.
Model Pengedaran Alternatif:
- Model Tradisional: Pembangun mencipta dan mengedarkan perisian secara langsung
- Model Pengedaran: Pengedar pihak ketiga (seperti Ubuntu/Red Hat ) membungkus dan menyokong perisian
- Model Yuran Penyelenggaraan: Perisian percuma dengan sokongan infrastruktur projek berbayar
Status Kawal Selia Semasa
Perkembangan terkini menunjukkan pengawal selia EU mungkin sedang mencari pendekatan yang lebih seimbang. Menurut perbincangan komuniti, versi terbaru CRA nampaknya melindungi penyumbang sumber terbuka daripada liabiliti sambil memerlukan syarikat membangunkan rancangan untuk menguruskan kebergantungan sumber terbuka mereka. Peralihan ini mewakili kemenangan untuk usaha advokasi oleh yayasan utama termasuk Apache , Linux , dan Eclipse .
Perdebatan ini mencerminkan persoalan yang lebih luas tentang kemampanan infrastruktur digital. Memandangkan masyarakat semakin bergantung pada perisian yang diselenggara oleh sukarelawan, mencari cara untuk menyokong projek-projek ini tanpa mengenakan beban undang-undang yang tidak munasabah kekal sebagai cabaran berterusan. Pendirian EU yang berkembang mungkin berfungsi sebagai model untuk bidang kuasa lain yang bergelut dengan isu serupa.
Rujukan: I am not a supplier