Закон ЕС о киберустойчивости снижает риск для Python

Европейский союз пересмотрел Закон о киберустойчивости (CRA), уменьшив опасения сообщества разработчиков открытого кода.

Фонд Python Software Foundation (PSF) выразил обеспокоенность, когда закон пересматривался после его первоначального определения в прошлом году. В частности, PSF беспокоили положения связанного с ним Закона об ответственности за качество продукции (Product Liability Act), который предоставляет потребителям возможность требовать возмещения ущерба за бракованную продукцию. Согласно CRA, производители цифровых продуктов должны будут повысить уровень безопасности своих продуктов, создать систему кибербезопасности, устранить уязвимости в системе безопасности и сообщить клиентам о проблемах с безопасностью.

Организации, нарушившие условия, могут быть оштрафованы на сумму до 15 миллионов евро или 2,5 процента от годового оборота, в зависимости от того, какая сумма окажется больше. PSF особенно беспокоилась о таких библиотеках, как CPython и PyPI, поскольку формулировка закона может означать, что PSF и сообщество Python будут нести ответственность за проблемы безопасности в продуктах, созданных с использованием компонентов кода, которые они предоставляют бесплатно.

Окончательный текст CRA уже опубликован, и в него включена концепция стюарда открытого кода, под которым CRA понимает юридическое лицо, предоставляющее бесплатное программное обеспечение с открытым исходным кодом, которое затем используется другими разработчиками. Теперь в законе прямо говорится, что предоставление бесплатных программных продуктов с открытым исходным кодом без монетизации не считается коммерческой деятельностью.

Это дополнение к уточнению, что:

Сами обстоятельства, при которых был разработан продукт, или способ финансирования разработки не должны приниматься во внимание при определении коммерческого или некоммерческого характера [предоставления свободного программного обеспечения с открытым исходным кодом на рынок].

В заявлении Open Forum Europe (OFE) говорится, что:

Эта формулировка внесет ясность для многих авторов, как коммерческих, так и некоммерческих, и предотвратит распространение обязательств на некоторые области, где они могут быть контрпродуктивными.