Na veřejném online meetingu se sešel Tim Doyle za Drupal Association, Crystal Dionysopoulos za Open Source Matters (Joomla), Mathias Bolt Lesniak za TYPO3 Association a Josepha Haden Chomphosy za WordPress.
Setkání začalo představením jednotlivých projektů a povídáním o jejich bezpečnosti. U Drupalu hraje výraznou roli Drupal Security Team tvořený více jak 30 dobrovolníky z celého světa.
Joomla je registrovaná v Certified Numbering Authority (CNA) pro Common Vulnerabilities and Exploits (CVE). Udržuje veřejný seznam zranitelností v rozšířeních třetí strany. Má vyhrazený tým pro bezpečnost.
TYPO3 má placený bezpečnostní tým, který má na starosti reporty a koordinuje CVE, asistuje a řeší problémy s bezpečností jádra a rozšíření. Tříroční LTS a další tříroční placená ELTS, detailní bezpečnostní pokyny a best practices. Bug Bounty program.
WordPress řeší bezpečnost zpět až k verzi 3.7, trénuje a doporučuje best practices, má Bug Bounty program, partnerství s třetími stranami registrovanými v CNA, udržuje komunikační kanál s jejich partnery.
Co mají společného? Licence GPL, základ v PHP, zaměření na komunitu, 18–25 let existence a zkušeností. Ale také filozofii – bezplatné řešení, dobrovolníky, zaměření i na malý byznys a individuální e-shopy.
Co je to Cyber Resilience Act?
Cílem nové směrnice je zajistit, že softwarové produkty v EU budou mít méně zranitelností a výrobci budou více odpovědní za kybernetickou bezpečnost skrze celý životní cyklus produkt. Zvýšit transparentnost a bezpečnosti. Chránit firemní uživatele a konzumenty.
Obecný záměr směrnice je v souladu s FOSS (svobodný a otevřený software) standardy a hodnotami. Ale konkrétní znění je příliš obecné a nejasné a ovlivňuje také open source.
Aktuální znění Cyber Resilience Act činí zodpovědnými vývojáře open source projektů za případné chyby. To způsobí, že se budou bát do projektů přispívat, protože nikdy neví, kde se jejich část kódu objeví. Někdo může připravit pomocnou knihovnu, kterou využije tvůrce školního webu, ale stejně tak vývojář softwaru někde v elektrárně. Případné problémy i zodpovědnost za ně pak mohou být diametrálně odlišné.
Další problém z hlediska odpovědnosti je ve chvíli, kdy je výsledný produkt poskládán ze spousty dílčích balíčků, což je dnes velmi typická situace.
Podle toho, co na online setkání zaznělo, je problém v překotné snaze CRA schválit do prosince.
Co zástupce open source CMS znepokojuje?
Definice komerční aktivity ve směrnici je nejasná a problematická. Je popsána jako aktivita zpeněžující nejenom produkt, ale také technickou podporu, poskytnutí softwarové platformy, přes kterou výrobce monetizuje další služby. Toto výrazně ovlivní kohokoli, kdo dostává příjmy za služby spojené s nasazením open source řešení.
Nedostatky v pojmu nedokončený software. Směrnice osvobozuje pouze nedokončený software, který je v režimu testování a není na trhu. To ale ignoruje realitu aktuálního vývojového cyklu, kdy jsou nové verze vydávány za účelem získat zpětnou vazbu.
Nezohlednění právní zodpovědnosti za otevřený a svobodný software. Směrnice CRA sděluje, že výrobce produktu je zodpovědný za nedostatky v softwarové bezpečnosti bez toho, že by brala v potaz unikátní povahu FOSS, kde typicky není jeden jediný výrobce či vývojář. To může vést k tomu, že použití jakéhokoli FOSS bude v rámci EU nemožné.
Koho Cyber Resilience Act ovlivní?
Samozřejmě každého, kdo je nějakým způsobem s open source komunitou spojený. Projekty samotné, firmy a asociace za nimi stojící, přispěvatele i celou širší komunitu.
Další kroky komunity okolo FOSS CMS?
Spolupráce zástupců redakčních systémů se širší FOSS komunitou a EU legislativci spolu se zohledněním a protlačením open source jazyka by snad mohla ovlivnit finální znění směrnice Cyber Resilience Act. Chystají se semináře v Bruselu, podrobnosti se dozvíme během září nebo října.
Celé toto snažení by se ale nemělo zastavit pouze u CRA. Podobná legislativa se začíná řešit po celém světě a komunita FOSS CMS by na to měla společně reagovat. Dohromady jsme silnější.
Jak může pomoci každý z nás?
Šiřte osvětu, sledujte aktuální dění a zapojte se do diskuze.
Další zdroje informací:
Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Marketing Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.
Přidat komentář