技术发展使网络安全成为重中之重,特别是考虑到网络威胁的增加。在此背景下,《网络弹性法案》被提出作为加强网络安全的尝试。然而,关于这项立法可能对技术创新的关键支柱开源产生潜在负面影响的争论仍在继续。在本文中,我们将探讨对《网络弹性法案》的担忧及其对开源的影响。
《网络弹性法案》是一项拟议的欧洲法规,旨在通过 伊拉克电报数据 加强公共和私营部门之间的合作来提高关键基础设施的网络弹性。引入由专家组成的咨询委员会的想法,以制定网络安全建议并促进先进技术的采用。这有什么问题吗?目标设定中没有任何内容,意图与实施方法中的实际动力之间存在很多不一致。
讨论围绕两个关键点展开:
CRA不区分上游技术的协作开发和将其引入市场
CRA 不会将产品的可预见使用限制在制造商预期的范围内,即使在最意外的使用情况下,上游开源社区也要对漏洞负责
从本质上讲,风险在于代码安全的责任落在上游贡献者身上,但是他们无法了解其代码将插入的软件和硬件上下文。
LFE 的 Mirko Boehm 在他的文章中提出的例子很说明问题:就好像开源贡献者可能会突然对在脱离上下文的环境中编写的软件的漏洞负责,如果该软件随后被用于下游控制核电站。