image

Mozilla: voorstel Europese CRA-wet bedreigt opensourceprojecten

vrijdag 14 juli 2023, 13:30 door Redactie, 10 reacties

Een voorstel voor de Europese Cyber Resilience Act (CRA) vormt een bedreiging voor opensourceprojecten en cybersecurity, zo stelt Mozilla. De Europese Commissie presenteerde afgelopen september de CRA, die voor veiligere hardware en software moet zorgen. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen.

Mozilla had al de nodige zorgen over de oorspronkelijke versie van de Europese Commissie. De Commissie Industrie, onderzoek en energie (ITRE) van het Europees Parlement heeft nu een aangepaste versie gepresenteerd en de aanpassingen zorgen niet voor de benodigde verbeteringen en maken in bepaalde gevallen de CRA-vereisten wat betreft opensourceprojecten juist erger, aldus Mozilla.

Zo zullen opensourceprojecten met "corporate developers" onder de eisen van de CRA gaan vallen. Elk project dat van ontwikkelaars gebruikmaakt die bij een commerciële partij in dienst zijn, zullen als een commercieel project worden gezien. Iets dat volgens Mozilla grote gevolgen voor opensourceprojecten kan hebben, die ontwikkelaars van bedrijven die de opensourcesoftware gebruiken mogelijk zullen weigeren. Ook kan het voorkomen dat bedrijven hun personeel verbieden om aan opensourceprojecten mee te werken.

Verder zullen ook opensourceprojecten die donaties ontvangen aan de eisen van de CRA moeten voldoen. Het gaat dan om terugkerende donaties van commerciële partijen. Het opensourceproject valt dan onder de CRA, ook al is het zelf niet commercieel bezig. "Het in stand houden van opensourceprojecten is geen eenvoudige taak en het accepteren van donaties is een manier om voor financiële onafhankelijkheid te zorgen. Niettemin kan ITRE's versie van de CRA dit ondermijnen", aldus Mozilla.

Als laatste maakt de Firefox-ontwikkelaar zich zorgen om actief misbruikte kwetsbaarheden waarvoor nog geen update beschikbaar is verplicht binnen een bepaalde tijd te melden. Dat zal volgens Mozilla alleen de inspanning voor het ontwikkelen van een update ondermijnen. Ook laat het een misvatting zien dat de Europarlementariërs niet begrijpen hoelang het duurt om kwetsbaarheden te verhelpen en kan het een zorgwekkend wereldwijd precedent scheppen, stelt Mozilla verder.

Volgende week zal de ITRE Commissie over het voorstel stemmen. Als het wordt aangenomen zal deze versie het officiële standpunt worden van het Europees Parlement in de onderhandelingen met de Europese Raad en Europese Commissie. Mozilla roept de ITRE Commissie op om rekening te houden met de gevolgen van het voorstel voor de ontwikkeling van open source in Europa en dat er een openbaar debat komt over de CRA.

Reacties (10)
14-07-2023, 13:39 door Anoniem
Ik maak me bij Mozilla heel ergens anders zorgen om:

https://www.weforum.org/organizations/mozilla-corporation

Net als dat iedereen z'n data door ProtonVPN jaagt.

https://www.weforum.org/organizations/proton
14-07-2023, 14:20 door Anoniem
EU commissie heeft zich als horige te gedragen ten opzichte van de aangewezen gatekeepers, ergo propriety Big Tech.

Een 'hand in foot' samenwerking. De rest lijdt slechts en profiteert niet. Al ben je er nog zo op tegen, het moet en zal je door de strot geduwd worden.
14-07-2023, 16:00 door Anoniem
Door Anoniem: Ik maak me bij Mozilla heel ergens anders zorgen om:

https://www.weforum.org/organizations/mozilla-corporation
Waar maak je je zorgen over dan?
14-07-2023, 19:25 door Anoniem
Verdeel en heers, een afgedwongen splijting tussen niet-commercieel en commercieel, precies daar waar overheden beveiligingen, privacy, achterdeurtjes, tussendeurtjes, meer naar hun zin willen zien, terwijl die communities hebben laten zien dat zij juist het tegenovergestelde willen bereiken. Namelijk betere beveiligingen, meer privacy en minder prying eyes.

De commerciëlen zullen de CRA, maar ook SDG's en noem maar op, gaan ervaren als een hefboom die langzaam (?) maar zeker de van bovenaf gewenste doelen gaat doordrukken (CSS, E2E, noem maar op).

De niet-commerciëlen gaan minder middelen (in allerlei vormen) krijgen. Brain drain and cancellation.

U wilt uw kostbare (vrije) tijd en/of zakelijk vermogen besteden aan projecten die u nauw aan het hart liggen, misschien wel MVO (Maatschappelijk Verantwoord Ondernemen) vindt, en waar overduidelijk vraag naar en behoefte aan is? Dat kan, maar dan wel onder onze voorwaarden (die later uitgebreid, verzwaard, noem maar op, kunnen worden), ook dat gedeelte waar u het niet mee eens bent.

U wilt geen CRA en dergelijke? Dat kan, maar dan wel onder onze voorwaarden (die later uitgebreid, verzwaard, noem maar op, kunnen worden), ook dat gedeelte waar u het niet mee eens bent.

En ziet, nog steeds keuzevrijheid, geen enkele drang of dwang, geen enkele aanleiding om function creep te vermoeden (of daar alvast rekening mee houden).

Vraagje, als iemand wat scriptjes, algoritmes of andere handigheden (ooit) in het Public Domain heeft gezet, waar anderen graag gebruik van maken (al of niet als onderdeel van hun eigen software, of om het werk er omheen te vergemakkelijken), enkel weten zij niet, en die iemand ook niet, wie wel of niet commercieel is, en wellicht (later) gezien kan worden als een software leverancier?
14-07-2023, 23:37 door Anoniem
En we dachten met open source projecten CSS te vermijden. Daar is dit dus voor bedoelt.
U mag best vrije software voeren maar dan wel in een paralel universum.
15-07-2023, 11:03 door Anoniem
Door Anoniem: Ik maak me bij Mozilla heel ergens anders zorgen om:

https://www.weforum.org/organizations/mozilla-corporation

Net als dat iedereen z'n data door ProtonVPN jaagt.

https://www.weforum.org/organizations/proton

Proton wordt hier genoemd als een van de startups (ik wist niet dat ze dat nog waren, maar goed) die in 2022 tot de "Technology Pioneers Community" van World Economic Forum zijn toegetreden:
https://www.weforum.org/press/2022/05/world-economic-forum-announces-100-new-start-ups-joining-its-technology-pioneers-community/
Zoals je op die pagina kan lezen worden bedrijven daarvoor uitgenodigd en maken dan gedurende twee jaar deel uit van die groep, wat betekent dat ze uitgenodigd zijn voor workshops, evenementen en discussies. Mozilla wordt bij een rijtje bekende alumni genoemd, dus bedrijven die eerder hieraan mee hebben gedaan.

World Economic Forum is hier zo te zien bezig om kruisbestuiving tussen vernieuwers te organiseren. Dat betekent niet meteen dat deelnemers daaraan meteen deel uitmaken van een verkapte wereldregering of zoiets.
15-07-2023, 11:16 door Anoniem
Dit zwart, dat zwart. Bij total surveillance en overeenkomstige totale controle,
wordt er geen onderscheid gemaakt qua OS,
tussen propriety-locked-in en open source free as in free beer.

Alles dient onder controle te komen van de custodians, behalve dan bij deze custodians (gamekeepers) zelf.
Met knikkeren halen zij elk potje uit in overdrachtelijke zin.

Wat is er feitelijk sinds het oude Sumer en het oude Romeinse Rijk veranderd in ons digitale Vierde Rijk?

Alle misbruik, dat Google bijvoorbeeld ontgaat, blijft buiten beeld.
Dat is net genoeg om de criminele vrijstaat overal op de racks in stand te kunnen houden

Men is nog steeds niet toe aan "cleansing the swamp". En komt dat eigenlijk ooit wel?
16-07-2023, 13:44 door Anoniem
Mag je straks nog wel open source gebruiken binnen de EU?

Of ben je dan verplicht iets uit de Big Tech shop te installeren ten behoeve van volledig front- en back-end monitoren?

Iemand?
18-07-2023, 06:53 door Anoniem
Dat noem ik nou de 'enshitification' of de hele wereldmaatschappij en daar zijn ze al mee bezig vanaf de grondlegging der wereld. Nog ziet de optimistische massa het niet; ze willen liever blij gemaakt met spiegeltjes en kraaltjes.

Zet je duimen op je schermpje en Netflix rustig verder. Je hebt alweer op 'agree' geklikt.
18-07-2023, 09:11 door Anoniem
Door Anoniem: Mag je straks nog wel open source gebruiken binnen de EU?

Of ben je dan verplicht iets uit de Big Tech shop te installeren ten behoeve van volledig front- en back-end monitoren?

Iemand?
Ja, dat mag. Als gebruiker kan je doen wat je wil, de CRA betreft enkel leveranciers.

Ook als leverancier mag je open source inzetten. Maar als je open source in een commercieel product wil gebruiken, val je onder de CRA en moet je er ook voor zorgen dat kwetsbaarheden in jouw open source dependencies worden verholpen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.