Joomla a EU Cyber Resilience Act

Ve skutečnosti dopad na open source software může být tak velký a významný, že se čtyři nejznámější open source projekty pro publikaci obsahu (Joomla!, WordPress, Typo3, Drupal) rozhodli spolupracovat a pokusit se to změnit. Pvním krokem v této spoplupráci byl společný dopis zákonodárcům evropské unii ze dne 25. července 2023 a společný webinář 2. srpna 2023.

Během tohoto webináře Crystal Dionysopoulos (Joomla!), Tim Doyle (Drupal), Mathias Bolt Lesniak (Typo3), Josepha Haden Chomphosy (WordPress) a Ciarán O'Riordan (Open Forum Europe) vysvětlili, co znamená CRA spolu se svými obavami komunitě. Bylo zaregistrováno více než 5OO posluchačů.

EU Cyber Resilience Act

Co je záměr návrhu CRA?
Záměrem CRA je regulovat kybernetickou bezpečnost v EU z pohledu hardwaru i softwaru. CRA má za cíl zvýšit kybernetickou bezpečnost digitálních produktů i služeb používaných na jednotném, evropském trhu. Cílem nařízení je dostat produkty a služby do takového stavu, kdy budou v základu podporovat určitou, adekvátní míru kybernetické ochrany během svého životního cyklu a na trh byly uvolňovány již s lepší ochranou proti kybernetickým hrozbám.

Počkejte chviličku, říkáte výrobci / vývojáři?
K tomu se ještě dostaneme později.

Okey, tak zpět k záměru. Návrh jako takový dobrým úmyslem, ne? Všichni jsme pro bezpečný software. Jsme téměř nejbezpečnější CMS na světě! Měli bychom tuto CRA zcela podpořit!
Ano. A se záměry plně souhlasíme. Ve skutečnosti jsou záměry CRA v souladu se standardy open source softwaru.

Tak proč tolik povyku? Co je v CRA tak zásadního, že potřebujeme vytvořit alianční spolupráci s našimi konkurenty? Protože jsme to nikdy předtím nedělali, to je zcela očividné.
Ano, je to skutečně poprvé, kdy čtyři největší asociace spravující vývoj Joomla!, WordPress, Typo3 a Drupal spolupracují.

Vlastně máme mnoho společného. Všichni spolupracujeme pod licencí GPL, všichni jsme založeni na jazyce PHP, jsme zamřeni, na komunitní vývoj a všichni máme více než 18 let zkušeností. Každá z asociací jsme neziskovou organizací, spoleháme se na firemní příspěvky a mnoho dobrovolných přispěvatelů. Většinou poháníme webové aplikace malých podniků. Společně jsme silní!

Takže abych odpověděla na Vaši otázku: nejde o samotnou CRA, ale o to, jak je formulována. Způsob, jakým je sepsána, neukazuje příliš jasně představu o tom, co to vlastně open source software je a jakým způsobem je vyvíjen. To má za následek, že části CRA jsou potencionálně škodlivé pro nás všechny a nakonec by mohly vést k softwaru, který naopak bude méně bezpečný než bezpečnější.

To nezní vůbec pozitivně. Jaké jsou hlavní obavy?

Jsou to tři věci:

Nejprve je tu tato část:
Aby nedošlo k narušení inovací nebo výzkumu, nemělo by se toto nařízení vztahovat na bezplatný software s otevřeným zdrojovým kódem vyvinutý nebo dodávaný mimo rámec obchodní činnosti. To platí zejména pro software, včetně jeho zdrojového kódu a upravených verzí, který je otevřeně sdílený a volně přístupný, použitelný, upravitelný a dále distribuovatelný. V kontextu softwaru by se obchodní činnost mohla vyznačovat nejen stanovením ceny za produkt, ale také stanovením ceny za technické podpůrné služby, poskytnutím softwarové platformy, jejímž prostřednictvím výrobce zpeněžuje jiné služby, nebo použitím osobních údajů z jiných důvodů, než je výlučně zlepšení bezpečnosti, kompatibility nebo interoperability softwaru.

Není zcela jasné, co znamená definice "Komerční činnost", je to příliš široce a velmi nejasně formulované. Lidé vydělávají peníze používáním našeho softwaru tím, že vytváří a udržují webové stránky nebo rozšíření, které vyvíjejí. V této definici lze pak snadno nabít dojmu, že se jedná o komerční činnost. Vztahovala by se v tomto případě na nás CRA? Existuje nějaký open source software, který splňuje kritéria komerční činnosti? Každý ekosystém potřebuje peníze pro svoji existenci.

Za druhé:
existuje pojem "Nedokončený software". Pravidlo vyjímá pouze software, který není dokončený a výhradně dostupný pro testovací účely a není tak dostupný na trhu. Toto přímo ignoruje realitu moderního vývoje softwaru, který podporuje vydávání softwaru, aby získal co nejvíce zpětné vazby.

A třetí obava odpovídá na Vaši otázku ohledně výrobců / vývojářů:
Pravidlo uplatňuje zásadu, že výrobce produktu je odpovědný za jeho nedostatečnou bezpečnost. Což je v naší situaci trochu složitější, protože nemáme jediného výrobce / výrojáře. O tom je open source. A pokud neexistuje jediný výrobce / vývojář, kdo by byl zodpovědný za chyby a bezpečnostní rizika? Hádáte správně, každý vývojář, který přispěl do kódu Joomla. To by znemožnilo začlenění FOSS do software řešení v EU a prakticky ukončilo používání open source.

Takže to, co v podstatě tvrdíte, znamená, že bychom všichni mohli dostat sankci, pokud by problém s bezpečností v Joomle způsobil bezpečnostní incident?
Teoreticky ano. Mohli bychom čelit právní odpovědnosti za zranitelnosti a nejen to. CRA by mohla ovlivnit naše projekty a open source ekosystém jako celek.

Neziskové organizace by mohly být z pohledu CRA začleněny do kategorie komerční a být tak nuceny dodržovat pravidla, která omezují způsob, jak fungovat v současném open source mechanismu. Omezení nebo vyloučení vydávání předběžných, vývojových verzí (alfa/beta/rc) by mohlo značně zkomplikovat vývoj.

Dobrovolní vývojáři, kteří přispívají do kódu (i placení nebo sponzorovaní) by měli komplikovanější pozici, aby vše zůstalo v souladu s CRA. Naše širší komunita (agentury, vývojáři rozšíření), anebo malé společnosti by najednou musely splňovat požadavky na CE označení.

Jak toto můžeme zastavit?
Nemůžeme, a ani to není to, co chceme. Chceme se ujistit, že lidé, kteří jsou odpovědní za CRA chápou, jak open source software funguje a jak by měla být formulace v návrhu změněna tak, aby byla pro všechny jasnější.

Jak to uděláme?
Budeme i nadále spolupracovat na tom, abychom tohoto cíle dosáhli. Webinář ze 2. srpna 2023 byl prvním krokem k informování komunit.

Vzhledem k tomu, že open source software bude tak či onak v CRA zahrnut, je nejlepším způsobem, jak minimalizovat negativní dopad konstruktivní spolupráce s EU. Napsali jsme otevřený dopis, který je dostupný na https://www.joomla.org a proaktivně se snažíme poskytnout nejlepší pohled na open source, které doufejme ovlivní konečné znění návrhu CRA.

Chystáme se v Bruselu uspořádat seminář, na kterém budeme se zákonodárci osobně diskutovat o povaze open source projektů a komunit. Tento seminář se uskuteční v září nebo říjnu 2023.

Jak můžete pomoci?

Mluvte o tom. Napište o tom. Natočte o tom videa. Lobujte. Šiřte informace. Sdílejte tento článek na sociálních sítích. Bylo by také velmi užitečné, kdybyste se podělili o některé návrhy dobrých bezpečnostních postupů pro projekty s otevřeným zdrojovým kódem pro vývoj jádra i rozšíření, abychom zákonodárcům mohli navrhnout konkrétní nápady.

Zdroj:
https://magazine.joomla.org/all-issues/august/joomla-and-the-eu-cyber-resilience-act

CRA v angličtině:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0454

CRA v češtině:
https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:52022PC0454