付费为爱发电？欧盟 CRA 法案或将破坏开源生态！

去年 9 月，欧盟提出了一项网络弹性法案 (CRA) ，目标是“加强网络安全规则，以提供更安全的硬件和软件产品”。但该法案随即引起了公众的批评，因为它可能会对开源生态产生严重的影响。

这个法案可以理解为软件产品的 CE （欧盟认证）标准，有四个具体目标：

• 要求软件制造商提高“全生命周期”数字元素产品的安全性
• 提供一个“一致的网络安全框架”来衡量软件的安全合规性
• 提高软/硬件产品的“数字元素”的安全属性透明度
• 让客户可以“放心使用带有数字元素的产品”

总而言之，这是一套新的欧盟软件安全认证规定。对于软件开发商和硬件制造商，它将增加新的网络安全要求、合格评定费、合格认证文件和报告义务等直接合规成本。当然，这些成本毫无意外地会转嫁到消费端，法案中如此描述：

这些额外成本是合规总成本的一部分，包括对企业和公共政务的负担，估计为 290 亿欧元（315.4 亿美元），随之而来的是消费者侧的软件价格将会上涨。

但每年在网络安全事件中受到的损失将减少 180 至 2900 亿欧元。

但对于大部分为爱发电的开源软件作者来说，这无疑是一项疯狂的规定，数年如一日的辛苦付出没有回报也就算了，还要自掏腰包来进行认定？该法案公布之后， 一些开源社区的领导人对其作出了严厉的评价，并提供了大量的意见反馈。

开源倡议组织 OSI 标准主管 Simon Phipps 亦提出了批评，认为该立法“可能会损害开源”，因为其关于开源软件部分的文本描述含糊不清，且“立法者完全不了解开源社区的实际运作方式”。目前 OSI 已向欧盟委员会提交了反馈，要求“就法案正文要求的开源例外情况开展进一步工作”，希望“任何不直接从软件商业化部署中受益的参与者”都可以免除合规责任。

Eclipse 基金会主任 Mike Milinkovich 认为： CRA 法案可能会从根本上改变整个开源生态系统的运转方式。现在大部分开源软件都是免费提供，可用于任何目的，且可以修改和进一步分发，但原作者、贡献者或分销商不提供任何保证或承担任何责任。如果通过立法的方式强制改变这种生态，可能会对欧洲的创新经济造成意想不到的后果。

此外，Milinkovich 还指出，CRA 会限制未完成开发的软件，未完全开发的软件只能用于测试用途，这又是一项对现有开源生态具有强烈破坏性的规定。在开源社区中，使用临时构建的软件版本是很常见的行为，且现有的开源许可证也不会限制软件的用途。

互联网协会执行顾问 Olaf Kolkman 也表达了担忧，他表示“应该修改法规，以明确在开源许可证下生产，并在非营利基础上分发的软件不在该法规范围内”。

目前欧盟委员会还在针对公众的意见不断修改这份法案，最新的修订时间是 23 年 1 月 30 日。如果处理不当，该法规可能会导致欧盟地区无法访问 Central、npm、PyPi 等常用的库系统，这对于欧盟和整个开源生态系统都将是灾难性的打击。

CRA 法案下载地址：https://ec.europa.eu/newsroom/dae/redirection/document/89543