Nelle scorse settimane la Commissione Europea ha approvato la bozza del Cyber Resilience Act, il cui scopo dovrebbe essere quello di rendere più sicuro il software, ma, come racconta Foss Force, molte organizzazioni che sviluppano o si occupano di open-source hanno allarmato l’opinione pubblica, indicando come questa proposta (che ancora non è legge) danneggerà il software open-source.

Ma cosa dice, nello specifico, questo Cyber Resilience Act e perché è visto come una minaccia per l’open-source? Per capirlo, si possono prendere le parole di Gaël Duval (fondatore tra le altre cose di Mandrake Linux) il quale, in un precedente articolo sempre su Foss Force dello scorso 15 luglio, scriveva:

Critics argue that the CRA could impose increased legal and financial responsibilities on open source contributors, potentially stifling innovation and damaging the open source ecosystem. Furthermore, the legislation’s vulnerability disclosure requirements could inadvertently expose software vulnerabilities to a larger audience, increasing the risk of malicious exploitation.

I critici sostengono che il CRA potrebbe imporre ulteriori responsabilità legali e finanziarie ai contributori dei progetti open-source, andando a limitare l’innovazione e danneggiando l’ecosistema open-source. Inoltre, i requisiti di divulgazione delle vulnerabilità della legislazione potrebbero inavvertitamente esporre le vulnerabilità del software a un pubblico più ampio, aumentando il rischio di sfruttamento dannoso.

Quindi nella sostanza i problemi sono due: il primo di responsabilità, con delle garanzie che con lo spirito open-source sono in antitesi, il secondo di sicurezza, con obblighi di pubblicazione delle vulnerabilità che sembrano voler ottenere l’effetto opposto a quello per cui sono pensati.

Fortunatamente, come conclude l’articolo di Foss Force, non è ancora detta l’ultima parola, poiché ci sono spazi di manovra che potrebbero consentire delle correzioni, in particolare per quei progetti open-source che non sono controllati da aziende (viene citato esplicitamente il progetto Apache), per i quali pare essere aperta la possibilità di applicazioni della legge (o di quella che sarà la legge) particolari.

Le perplessità però rimangono tutte, poiché c’è tutta una fetta di aziende che non sono grandi a sufficienza per sopportare questo tipo di impatto.

In attesa di vedere come procederà l’iter di questa proposta e nella speranza che possa essere rivisto in favore dei progetti open-source che ne verrebbero penalizzati, noi continuiamo a monitorare la situazione.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.