Mozilla: voorstel Europese CRA-wet bedreigt opensourceprojecten
Een voorstel voor de Europese Cyber Resilience Act (CRA) vormt een bedreiging voor opensourceprojecten en cybersecurity, zo stelt Mozilla. De Europese Commissie presenteerde afgelopen september de CRA, die voor veiligere hardware en software moet zorgen. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen.
Mozilla had al de nodige zorgen over de oorspronkelijke versie van de Europese Commissie. De Commissie Industrie, onderzoek en energie (ITRE) van het Europees Parlement heeft nu een aangepaste versie gepresenteerd en de aanpassingen zorgen niet voor de benodigde verbeteringen en maken in bepaalde gevallen de CRA-vereisten wat betreft opensourceprojecten juist erger, aldus Mozilla.
Zo zullen opensourceprojecten met "corporate developers" onder de eisen van de CRA gaan vallen. Elk project dat van ontwikkelaars gebruikmaakt die bij een commerciële partij in dienst zijn, zullen als een commercieel project worden gezien. Iets dat volgens Mozilla grote gevolgen voor opensourceprojecten kan hebben, die ontwikkelaars van bedrijven die de opensourcesoftware gebruiken mogelijk zullen weigeren. Ook kan het voorkomen dat bedrijven hun personeel verbieden om aan opensourceprojecten mee te werken.
Verder zullen ook opensourceprojecten die donaties ontvangen aan de eisen van de CRA moeten voldoen. Het gaat dan om terugkerende donaties van commerciële partijen. Het opensourceproject valt dan onder de CRA, ook al is het zelf niet commercieel bezig. "Het in stand houden van opensourceprojecten is geen eenvoudige taak en het accepteren van donaties is een manier om voor financiële onafhankelijkheid te zorgen. Niettemin kan ITRE's versie van de CRA dit ondermijnen", aldus Mozilla.
Als laatste maakt de Firefox-ontwikkelaar zich zorgen om actief misbruikte kwetsbaarheden waarvoor nog geen update beschikbaar is verplicht binnen een bepaalde tijd te melden. Dat zal volgens Mozilla alleen de inspanning voor het ontwikkelen van een update ondermijnen. Ook laat het een misvatting zien dat de Europarlementariërs niet begrijpen hoelang het duurt om kwetsbaarheden te verhelpen en kan het een zorgwekkend wereldwijd precedent scheppen, stelt Mozilla verder.
Volgende week zal de ITRE Commissie over het voorstel stemmen. Als het wordt aangenomen zal deze versie het officiële standpunt worden van het Europees Parlement in de onderhandelingen met de Europese Raad en Europese Commissie. Mozilla roept de ITRE Commissie op om rekening te houden met de gevolgen van het voorstel voor de ontwikkeling van open source in Europa en dat er een openbaar debat komt over de CRA.
https://www.weforum.org/organizations/mozilla-corporation
Net als dat iedereen z'n data door ProtonVPN jaagt.
https://www.weforum.org/organizations/proton
Een 'hand in foot' samenwerking. De rest lijdt slechts en profiteert niet. Al ben je er nog zo op tegen, het moet en zal je door de strot geduwd worden.
https://www.weforum.org/organizations/mozilla-corporation
De commerciëlen zullen de CRA, maar ook SDG's en noem maar op, gaan ervaren als een hefboom die langzaam (?) maar zeker de van bovenaf gewenste doelen gaat doordrukken (CSS, E2E, noem maar op).
De niet-commerciëlen gaan minder middelen (in allerlei vormen) krijgen. Brain drain and cancellation.
U wilt uw kostbare (vrije) tijd en/of zakelijk vermogen besteden aan projecten die u nauw aan het hart liggen, misschien wel MVO (Maatschappelijk Verantwoord Ondernemen) vindt, en waar overduidelijk vraag naar en behoefte aan is? Dat kan, maar dan wel onder onze voorwaarden (die later uitgebreid, verzwaard, noem maar op, kunnen worden), ook dat gedeelte waar u het niet mee eens bent.
U wilt geen CRA en dergelijke? Dat kan, maar dan wel onder onze voorwaarden (die later uitgebreid, verzwaard, noem maar op, kunnen worden), ook dat gedeelte waar u het niet mee eens bent.
En ziet, nog steeds keuzevrijheid, geen enkele drang of dwang, geen enkele aanleiding om function creep te vermoeden (of daar alvast rekening mee houden).
Vraagje, als iemand wat scriptjes, algoritmes of andere handigheden (ooit) in het Public Domain heeft gezet, waar anderen graag gebruik van maken (al of niet als onderdeel van hun eigen software, of om het werk er omheen te vergemakkelijken), enkel weten zij niet, en die iemand ook niet, wie wel of niet commercieel is, en wellicht (later) gezien kan worden als een software leverancier?
U mag best vrije software voeren maar dan wel in een paralel universum.
https://www.weforum.org/organizations/mozilla-corporation
Net als dat iedereen z'n data door ProtonVPN jaagt.
https://www.weforum.org/organizations/proton
Proton wordt hier genoemd als een van de startups (ik wist niet dat ze dat nog waren, maar goed) die in 2022 tot de "Technology Pioneers Community" van World Economic Forum zijn toegetreden:
https://www.weforum.org/press/2022/05/world-economic-forum-announces-100-new-start-ups-joining-its-technology-pioneers-community/
Zoals je op die pagina kan lezen worden bedrijven daarvoor uitgenodigd en maken dan gedurende twee jaar deel uit van die groep, wat betekent dat ze uitgenodigd zijn voor workshops, evenementen en discussies. Mozilla wordt bij een rijtje bekende alumni genoemd, dus bedrijven die eerder hieraan mee hebben gedaan.
World Economic Forum is hier zo te zien bezig om kruisbestuiving tussen vernieuwers te organiseren. Dat betekent niet meteen dat deelnemers daaraan meteen deel uitmaken van een verkapte wereldregering of zoiets.
wordt er geen onderscheid gemaakt qua OS,
tussen propriety-locked-in en open source free as in free beer.
Alles dient onder controle te komen van de custodians, behalve dan bij deze custodians (gamekeepers) zelf.
Met knikkeren halen zij elk potje uit in overdrachtelijke zin.
Wat is er feitelijk sinds het oude Sumer en het oude Romeinse Rijk veranderd in ons digitale Vierde Rijk?
Alle misbruik, dat Google bijvoorbeeld ontgaat, blijft buiten beeld.
Dat is net genoeg om de criminele vrijstaat overal op de racks in stand te kunnen houden
Men is nog steeds niet toe aan "cleansing the swamp". En komt dat eigenlijk ooit wel?
Of ben je dan verplicht iets uit de Big Tech shop te installeren ten behoeve van volledig front- en back-end monitoren?
Iemand?
Zet je duimen op je schermpje en Netflix rustig verder. Je hebt alweer op 'agree' geklikt.
Of ben je dan verplicht iets uit de Big Tech shop te installeren ten behoeve van volledig front- en back-end monitoren?
Iemand?
Ook als leverancier mag je open source inzetten. Maar als je open source in een commercieel product wil gebruiken, val je onder de CRA en moet je er ook voor zorgen dat kwetsbaarheden in jouw open source dependencies worden verholpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
