Το Σαββατοκύριακο 3-4 Φεβρουαρίου συνδιοργάνωσα μια αίθουσα συζητήσεων για την πολιτική της ΕΕ στο FOSDEM, σηματοδοτώντας το τέλος μιας διαδρομής στην πολιτική της ΕΕ, η οποία αφορούσε την πράξη για την ανθεκτικότητα στον κυβερνοχώρο. Σε αυτήν την ανάρτηση θέλω να συμβάλω σε μια κοινή κατανόηση του τρόπου με τον οποίο η CRA θα επηρεάσει πιθανότατα τους προγραμματιστές λογισμικού ανοικτού κώδικα.
από τον Maarten Aertsen
Με τα αποτελέσματα των διαπραγματεύσεων (τριμερής διάλογος) να έχουν δημοσιοποιηθεί από τον Δεκέμβριο, γνωρίζουμε τώρα τι να περιμένουμε σε υψηλό επίπεδο από την πράξη για την ανθεκτικότητα στον κυβερνοχώρο. Θα συνδέσω πηγές υψηλής ποιότητας για όσους θέλουν να καταλάβουν περί τίνος πρόκειται η CRA. Θα διηγηθώ επίσης την προσωπική μου ιστορία της έναρξης της πολιτικής δέσμευσης του FOSS στις Βρυξέλλες λόγω του CRA και θα μοιραστώ τα διδάγματα που έμαθα.
Πρόκειται για μια συνέχεια της ανάρτησης του Νοεμβρίου 2022, στην οποία εκφράζονται ανησυχίες για ακούσιες συνέπειες για τους προγραμματιστές λογισμικού ανοικτού κώδικα. Οι ανησυχίες αυτές εισακούστηκαν και αντιμετωπίζονται στο τελικό κείμενο.
Το διαπραγματευόμενο κείμενο που συζητείται εδώ πρέπει ακόμη να ψηφιστεί από την ολομέλεια του Ευρωπαϊκού Κοινοβουλίου, να βελτιωθεί και να μεταφραστεί, να δημοσιευτεί στην επίσημη εφημερίδα της Ευρωπαϊκής Ένωσης, πριν από 36 μήνες για την πλήρη έναρξη ισχύος (ίσως το καλοκαίρι του 2027). Έτσι, όπως και η προηγούμενη ανάρτησή μου, αυτή η ανάρτηση θα αποτελέσει “ιστορικό πλαίσιο” εν ευθέτω χρόνω.
Με επηρεάζει ο CRA;
Ο Benjamin Bögel (Ευρωπαϊκή Επιτροπή, υπεύθυνος για την εφαρμογή του CRA) επέστρεψε στην κεντρική σκηνή του FOSDEM για να δώσει μια 10λεπτη επεξήγηση για το πώς η CRA επηρεάζει το FOSS. Συνιστώ να το παρακολουθήσετε.
Στην παρουσίασή του, ο Μπέντζαμιν χρησιμοποιεί ένα διάγραμμα ροής για να σας βοηθήσει να καταλάβετε αν η CRA σας επηρεάζει. Αυτό δεν υποκαθιστά την ανάγνωση του νόμου (όταν αυτός δημοσιευτεί επίσημα, πιθανότατα το δεύτερο τρίμηνο του 2024), αλλά μπορεί να σας βοηθήσει να πάρετε μια διαίσθηση.
Βλέποντας το διάγραμμα ροής του, θυμήθηκα ότι είχα φτιάξει κι εγώ ένα, ενώ προσπαθούσα να κατανοήσω το πεδίο εφαρμογής της CRA, το οποίο έχει λίγο περισσότερες λεπτομέρειες με δείκτες στις σχετικές αιτιολογικές σκέψεις και άρθρα:
Η παραπάνω εικόνα περιέχει μια ενσωματωμένη έκδοση XML του διαγράμματος που μπορείτε να εισαγάγετε στο draw.io για να κάνετε τροποποιήσεις. Συνεισφορές, διορθώσεις ή άλλα σχόλια είναι ευπρόσδεκτα.
Θα ήταν χρήσιμο αν κάποιος έφτιαχνε ένα παρόμοιο διάγραμμα που χαρτογραφεί τις υποχρεώσεις για τους διαχειριστές λογισμικού ανοικτού κώδικα, για να καθοδηγήσει ομοίως την ανάγνωση.
Άλλοι πόροι εισαγωγικού επιπέδου που προτείνω περιλαμβάνουν:
- Bert Hubert’s “EU CRA: Τι σημαίνει αυτό για τον ανοικτό κώδικα;”
- Το άρθρο του Mike Milinkovich in Eclipse’s “From Concerns to Solutions: Μια ενημέρωση σχετικά με το νόμο για την ανθεκτικότητα στον κυβερνοχώρο”.
Θέλω να μάθω τι είναι το επόμενο βήμα. Πού να πάω;
Η FOSDEM παρουσίασε φέτος ένα “δωμάτιο ανάπτυξης πολιτικής της ΕΕ”, στο οποίο συνέβαλα ως συνδιοργανωτής. Η πρώτη ενότητα ήταν αφιερωμένη στην οδηγία CRA και στην (δυστυχώς λιγότερο γνωστή) επικαιροποιημένη οδηγία για την ευθύνη των προϊόντων (PLD):
Ο Mirko Boehm (Linux Foundation Europe) συνόψισε το μπλοκ σε 10 λεπτά.
Σχετικά με τα επόμενα βήματα στην εφαρμογή του CRA και της PLD:
Ένα “πάνελ CRA & PLD” με τη συμμετοχή της Ευρωπαϊκής Επιτροπής για να ακούσουμε τα επόμενα βήματα στην εφαρμογή. Το ακροατήριο έθεσε ερωτήσεις σχετικά με τους διαχειριστές, τα οικονομικά εμπόδια για την τυποποίηση (standards) και πολλά άλλα θέματα. Μάθαμε ότι η Επιτροπή είναι πρόθυμη να συλλέξει ανατροφοδότηση για να τροφοδοτήσει το έργο της, δημιουργώντας την κατάλληλη καθοδήγηση.
Σχόλια από ένα εργαστήριο περίπου 70 συμμετεχόντων που συνόψισε το προσωπικό της ΕΚ, όπου οι συμμετέχοντες του devroom συγκέντρωσαν Φόβους, Ελπίδες και Λύσεις για να τροφοδοτήσουν το μελλοντικό έργο της Ευρωπαϊκής Επιτροπής για την εφαρμογή και την καθοδήγηση.
- (για τους κατασκευαστές στο πλαίσιο του CRA) τη σημασία του να μην ευθυγραμμιστούν τα πρότυπα που θα αναπτυχθούν για το CRA με το FOSS:
Η Lightning Talk του Tobie Langel “40 νέοι τρόποι με τους οποίους η CRA μπορεί να βλάψει κατά λάθος τον ανοιχτό κώδικα”
Ο Bert Hubert έγραψε προηγουμένως μια ενότητα σχετικά με τον επηρεασμό των ευρωπαϊκών οργανισμών προτύπων από κυρίαρχους παράγοντες της βιομηχανίας
- (για τους διαχειριστές λογισμικού ανοικτού κώδικα στο πλαίσιο του CRA) πώς να συμμορφωθούν με τον CRA και την πρόκληση για το πώς να το κάνουν αυτό σε ανοικτό περιβάλλον:
Marta Rybczynska’s lightning talk: “Συμμόρφωση με τον CRA για έργα ανοικτού κώδικα“
- (για μια εισαγωγή στην οδηγία περί ευθύνης για τα προϊόντα):
Η Lightning Talk του Robert Carolina: “Όταν το λογισμικό προκαλεί βλάβη – ποιος πληρώνει και γιατί;”
Η εισαγωγή του Omar Enaji (Ευρωπαϊκή Επιτροπή) στην PLD κατά τη διάρκεια της εκδήλωσης “The Regulators Are Coming: One Year On” (έναρξη στο 25min20s) στην κεντρική σκηνή της FOSDEM
Ορισμένες λεπτομέρειες CRA που συζητούνται λιγότερο συχνά
- Οι κατασκευαστές θα πρέπει να στέλνουν διορθώσεις upstream.
Όταν οι κατασκευαστές έχουν αναπτύξει τροποποίηση λογισμικού ή υλικού για την αντιμετώπιση της ευπάθειας στο εν λόγω κατασκευαστικό στοιχείο, μοιράζονται τον σχετικό κώδικα ή την τεκμηρίωση με το πρόσωπο ή την οντότητα που κατασκευάζει ή συντηρεί το κατασκευαστικό στοιχείο, κατά περίπτωση σε αναγνώσιμη από μηχανήματα μορφή.
Αυτό είναι ωραίο.
- Οι κατασκευαστές μπορούν πάντα να χρησιμοποιούν self-certification για το FOSS.
Μία από τις μεγαλύτερες ανησυχίες στο ιστολόγιό μου του Νοεμβρίου 2022, ήταν η επιβάρυνση της συμμόρφωσης για τα λεγόμενα κρίσιμα προϊόντα (που από τότε μετονομάστηκαν σε σημαντικά προϊόντα). Έχει εισαχθεί μια εξαίρεση για τους κατασκευαστές που επιτρέπει την αυτοπιστοποίηση για τα σημαντικά προϊόντα, υπό την προϋπόθεση ότι η τεχνική τεκμηρίωση διατίθεται στο κοινό.
Παραθέτω μια παρουσίαση της Ευρωπαϊκής Επιτροπής στο FOSDEM2024 (11min54):
Όσον αφορά το FOSS, έχουμε μια ειδική διάταξη στο CRA που λέει ότι, ανεξάρτητα από το αν το προϊόν σας είναι σημαντικό ή όχι, θα σας επιτρέπεται πάντα να υποβληθείτε σε αυτοαξιολόγηση. Δεν θα πρέπει να υποβάλλετε οποιοδήποτε FOSS που εμπίπτει στο πεδίο εφαρμογής του CRA σε τρίτο μέρος.
Και ο λόγος πίσω από αυτό είναι ότι όταν πρόκειται για ανοιχτό κώδικα, πρόκειται για ένα διαφανές προϊόν και ο καθένας, συμπεριλαμβανομένων των χρηστών ή των integrators, μπορεί να ελέγξει μόνος του αν το προϊόν αυτό είναι ασφαλές. Έτσι, δεν χρειάζεστε έναν τρίτο που εγγυάται για το προϊόν.
Αυτό φαίνεται χρήσιμο. Θα δώσει τη δυνατότητα σε όλους τους χρήστες και όχι μόνο στους κοινοποιημένους οργανισμούς ή στους οικονομικούς φορείς με επαρκή ισχύ στην αγορά να επιθεωρούν την ασφάλεια των προϊόντων στα οποία βασίζονται. Ίσως δώσει κίνητρο σε ορισμένους κατασκευαστές να ανοίξουν τα προϊόντα τους.
Εκμάθηση της πολιτικής δέσμευσης FOSS από το μηδέν:
Αυτό το άρθρο ολοκληρώνει ένα ταξίδι 17 μηνών για την κατανόηση της προσπάθειας της ΕΕ να ρυθμίσει το λογισμικό με την CRA. Ασχολήθηκα με αυτή τη διαδικασία πολιτικής σε μια προσπάθεια να ελαχιστοποιήσω τη ζημιά στην πρακτική της ανάπτυξης ελεύθερου και ανοικτού λογισμικού. Έκανα μια αναδρομή σε αυτή τη διαδικασία στη FOSDEM, σε μια ομιλία αστραπή με τίτλο “FOSS policy engagement: a CRA retrospective” με τον Enzo Ribagnac (Eclipse). Παρουσιάζει τον αγώνα μου να καταλάβω πώς λειτουργούν οι Βρυξέλλες, σε ένα χρονολογικό περίπου χρονοδιάγραμμα.
Είμαι ευγνώμων σε όλους όσοι με βοήθησαν. Κάποια μαθήματα που έμαθα:
- 1. Αργήσαμε πολύ. Η πρόταση είχε ήδη κυκλοφορήσει όταν το αντιληφθήκαμε και έπρεπε να προσπαθήσουμε να επηρεάσουμε το περιεχόμενό της εκ των υστέρων. Σαν να κυνηγάς ένα τρένο που έχει ήδη αναχωρήσει, είναι πολύ καλύτερα να είσαι στο σταθμό από νωρίς, ώστε να μπορέσεις να επιβιβαστείς πριν αναχωρήσει. Αυτό απαιτούσε από εμάς πολύ μεγαλύτερη προσπάθεια από όση θα ήταν απαραίτητη αν είχαμε εμπλακεί (ενημέρωση: ή συμβουλευτεί!) εγκαίρως.
- 2. Δεν μπορούμε να περιμένουμε από την κοινότητα FOSS να οργανωθεί όπως οργανώνεται μια βιομηχανία (σε εμπορικές οργανώσεις). Ο Simon Phipps έγραψε γι’ αυτό πιο εύγλωττα από ό,τι μπορώ εγώ.
- 3. Πρέπει να αλλάξει η διαδικασία για τους ψηφιακούς φακέλους στην ΕΕ, ή να βρούμε καλύτερους μηχανισμούς για να κάνουμε συνηγορία από την κοινότητα FOSS. Για όλους τους ψηφιακούς φακέλους της ΕΕ το λογισμικό είναι σημαντικό, και για το λογισμικό το FOSS είναι σημαντικό. Εκ των υστέρων, σταθήκαμε τυχεροί σε αυτό το θέμα.
- 4. Θα πρέπει να μιλάμε περισσότερο στο κοινοβούλιο ως κοινότητα- είναι οι πιο προσιτοί σε εμάς. Σε μια πιο γενική σημείωση, οι ευρωπαϊκές εκλογές πλησιάζουν- είναι σημαντικές- παρακαλώ πηγαίνετε να ψηφίσετε αν έχετε δικαίωμα ψήφου.
- 5. Αποδεικνύεται ότι ακόμη και αν δεν έχετε εμπειρία στην πολιτική της ΕΕ, μπορείτε να συνεισφέρετε και να κάνετε τη διαφορά.