Frykter for framtida til åpen kildekode etter krav om "CE-merking"

EUs Cyber Resilience Act (CRA) skal gi sikrere programvare, men kan stikke kjepper i hjulene for open source.

Et nytt EU-direktiv stiller strenge krav til programvareprodusenter for at programvaren skal bli sikrere. Men unntakene for åpen kildekode-programvare er ikke gode nok, mener flere. 📸: <a href="https://unsplash.com/@charlesdeluvio?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">charlesdeluvio</a> / <a href="https://unsplash.com/photos/pjAH2Ax4uWk?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Unsplash</a>
Et nytt EU-direktiv stiller strenge krav til programvareprodusenter for at programvaren skal bli sikrere. Men unntakene for åpen kildekode-programvare er ikke gode nok, mener flere. 📸: charlesdeluvio / Unsplash Vis mer

EU-kommisjonen foreslo i fjor høst et nytt direktiv som har som mål å gjøre program- og maskinvare sikrere enn det er i dag.

Cyber Resilience Act (CRA) kan ses på som en slags "CE-merking" for programvare, og stiller blant annet krav til at produsenter må sørge for at alle produkter er sikre gjennom hele livssyklusen til produktet, skriver DevClass.

Dette kommer ikke til å være gratis: I forslaget fra EU står det at produsenter vil pådra seg direkte kostnader for de nye sikkerhetskravene på rundt 29 milliarder euro – 312 milliarder kroner. Dette er blant annet for sertifiseringer og for å gjennomføre "samsvarsvurderinger".

Men hvordan påvirker dette egentlig åpen kildekode-baserte prosjekter, hvor mange er laget av personer som jobber frivillig, og prosjektene ofte mange finansiering?

Unntak – men ikke bra nok

Cyber Resilience Act inneholder unntak som skal frita åpen kildekode fra de strenge kravene. Det står blant annet at gratis og åpen kildekode-basert programvare "utviklet eller levert av ikke-kommersielle aktører" ikke skal være omfattet av direktivet.

Dette er ikke godt nok, mener The Open Source Initiative (OSI), som den 24. januar sendte et brev til EU-kommisjonen. De er glade for at det er unntak for åpen kildekode, men sier at teksten slik den er formulert nå uansett kan skape store problemer for åpen kildekode.

«Åpen kildekode kan bli brukt kommersielt av noen aktører, selv om det større miljøet av folk som vedlikeholder prosjektet er klart ikke-kommersielt.»

CRA inneholder en rekke uklarheter i ordlyd og formuleringer som ikke er i samsvar med hvordan åpen kildekode-miljøer fungerer og med hva som faktisk motiverer de som bidrar i disse miljøene, mener OSI.

OSI reagerer også på at det i EU-direktivet brukes begrepet "ikke-kommersiell". Ifølge OSI har slike begreper alltid ført til usikkerhet rundt det juridiske for programvare. Det hender nemlig at åpen kildekode kan bli brukt kommersielt av noen aktører, selv om det større miljøet av folk som vedlikeholder prosjektet er klart ikke-kommersielt.

Anbefaler endringer

Mike Milinkovich er sjef for Eclipse Foundation, en organisasjon for personer og virksomheter som driver med åpen kildekode. I et blogginnlegg skriver han at Eclipse er dypt bekymret for at CRA fundamentalt kan endre den sosiale kontrakten som hele åpen kildekode-miljøet er bygget på.

Åpen kildekode handler ifølge Milinkovich om gratis programvare til alle formål, som kan endres og videredistribueres gratis, men uten at de som har skrevet eller bidratt til koden trenger å garantere for noe eller risikerer å måtte stå til ansvar for noe.

Det å juridisk endre måten dette samspillet fungerer på, kan skape utilsiktede konsekvenser for innovasjonen i Europa, skriver Milinkovich.

Open Source Initiative anbefaler nå EU-kommisjonen å endre unntakene, slik at all aktivitet før kommersiell utrulling av programvaren er unntatt fra kravene. I tillegg må ansvaret for CE-merking ikke ligge på noen som ikke har direkte kommersielle interesser i utrullingen av programvaren.