欧盟 CRA 法案进入下一阶段，开源“悲剧”即将上演？

eu-cyber-resilence-act-next-stage

尽管受到了诸多开源社区的反对，甚至被 Apache 软件基金会称为"即将发生的悲剧"；但欧盟理事会会议还是就网络弹性法案 (CRA) 的“谈判授权 (negotiating mandate)”达成了一致，授权轮值主席国西班牙与欧洲议会就立法的最终版本进行谈判。此次谈判被称为“三部曲”，涉及欧盟委员会、欧洲议会和欧盟理事会。 

欧洲议会工业、研究和能源委员会 (ITRE) 以 61 票赞成、1 票反对、10 票弃权的结果批准了 CRA 草案。该法规草案对硬件和软件产品的设计、开发、生产和市场销售提出了强制性网络安全要求，拟议的法规将适用于直接或间接连接到其他设备或网络的所有产品。

根据介绍，该立法的目的是为物联网产品等联网设备提供共同的安全要求，以便它们“在整个供应链和整个生命周期中都是安全的”。旨在结束设备运行不安全固件、无法轻松更新，或供应商对已退出市场的产品安全性关注甚少的弊端。该立法包括一个用于表明产品符合标准的 CE marking，因此有时也被称为“CE mark for software”。

但这个法案或将给 OSS 社区带来意想不到的后果和难以承受的成本焦虑。ASF 公共事务副总裁 Dirk-Willem van Gulik 指出，CRA"提出了一系列要求，这些要求要么威胁到开源贡献或我们的公共资源非常脆弱的'双赢'局面，要么违背了行业的良好做法，要么根本不可能实现，也就是说，它试图将开源公共资源与商业部门等同对待"。

OSI 也曾在今年年初汇总了来自文档基金会（LibreOffice）、Python 软件基金会、电子前沿基金会、RIPE、Linux 基金会、GitHub、华为、微软、Sonatype 等项目和公司对拟议的 CRA 的回应和担忧。OpenInfra 基金会评论称："虽然欧盟委员会试图（通过序言 10 中表达的豁免）保护开源软件，但在共同立法过程中并未与更广泛的开源社区协商，因此使用的措辞很可能产生相反的效果"。

流行文件传输实用程序供应商 Filezilla 表示，“所有开源软件都遵循一个基本原则：生产者免费提供软件，但对其使用不承担任何责任或保证。CRA 将不可避免的责任强加给自由软件的生产者，此举违反了这一原则”。因此，该项目表示将暂停下载权限以示抗议。

该立法自初稿以来已经过多次修订，但 Eclipse 基金会执行董事 Mike Milinkovich 在一份简报中表示，虽然内部市场和消费者保护委员会 (IMCO) 做出的修订“对开源有利”，但起主导作用的 ITRE 委员会的修订“非常令人担忧”。Milinkovich 表示，ITRE 委员会“得出了坚定的结论，即大多数开源项目和所有开源基金会都应该对 CE Mark 的一致性负责”。

Mozilla 也表达了类似的担忧，ITRE 的修正案意味着“以企业开发者为贡献者的开源项目将受到 CRA 的约束。

Percona 社区负责人 Joe Brockmeier 向 Dev Class 表示，立法提案进展如此之快令人沮丧。他还担心，尽管 ASF、Eclipse 等都提出了一些反对声音，但“迄今为止，业界的反应还不够强烈，无法应对立法一旦颁布可能会造成非常大的破坏。正在考虑的立法是仓促通过的，没有足够的时间让受影响的组织和个人做出反应。当前的草案对开源软件开发构成了重大威胁。它的预期范围和影响将威胁开源开发，使市场上的较小参与者（如 Percona）处于不利地位，并且可能弊大于利。”

“当开发人员能够在不考虑雇主或国籍的情况下进行协作时，开源软件才能发挥最大作用。我们之前已经看到过有关加密和美国法规的问题，以及与受制裁国家的人员合作的限制。欧盟要求向欧盟机构报告漏洞可能会导致安全漏洞报告的扭曲。受到这些限制的项目，例如那些包含欧洲开发人员的项目，可能会被绕过。”

他认为，CRA 可能会驱逐一些开源的开发和参与力量。“"在急于为安全做点什么 的时候，重要的是我们不要破坏或损害平等地为每个人服务的重要公共资源。如果在这个节骨眼上不能阻止 CRA，我们至少要设法确保在为时已晚之前对其进行改进。”

此外，OpenUK 首席执行官 Amanda Brock 还透露，他们听说供应商现在将以类似于出口管制的管理方式，直接阻止他们的代码进入欧洲。"这可能会对欧洲的科技行业造成严重损害。"

她补充称，尽管欧盟的开源项目办公室已经成立了5年，但他们仍然只专注于只为中小企业提供“豁免权”，这表明欧盟完全不了解开源软件的运作形式。“只关注中小型企业而不关注开源软件的本质是极其短视的，而且会造成欧洲科技公司长期缺乏增长的循环。”

延伸阅读：

• 付费为爱发电？欧盟 CRA 法案或将破坏开源生态！
• Python 基金会：欧盟立法应该给予 FOSS 社区明确的豁免