Legt Europa een bom onder het voorbestaan van opensourcesoftware?

De Europese Cyber Resilience Act legt strenge beveiligingseisen op aan ontwikkelaars van software. Ook opensourcesoftware blijft niet buiten schot. Maar de voorgestelde regels kunnen de toekomst van opensource in gevaar brengen, waarschuwen spelers uit de sector.

De Europese Unie is volop bezig met de krijtlijnen van de Cyber Resilience Act op papier te zetten. De wet is een ambitieuze poging om duidelijke regels rond cybersecurity op te leggen aan fabrikanten van hardware en software. Fabrikanten die de beveiliging van hun producten niet te nauw nemen, riskeren hoge boetes en/of een verbod om hun product(en) nog op de Europese markt te verkopen. Hiermee hoopt Europa het aantal cyberaanvallen te kunnen terugdringen.

Maar het huidige wetsvoorstel is niet vrij van discussie. Met name de opensourcegemeenschap trekt aan de alarmbel. Dertien belangengroepen ondertekenden een open brief aan de Europese Unie om de regels rond opensourcesoftware te herzien. Dit gezamenlijke statement werd nog eens duidelijk uitgesproken tijdens de recente KubeCon-conferentie in Amsterdam.

Europese Cyber Resilience Act doorgelicht: een doorbraak voor cybersecurity?

Geen eenrichtingsverkeer

Tijdens de beurs ontmoeten we Gabriele Columbro, General Manager van Linux Foundation Europe, dat de open brief mee ondertekende, om over dit heikele onderwerp te spreken. “Voor alle duidelijkheid: ik steun de doelstellingen van de Cyber Resilience Act. Het is een goede zaak dat de Europese Unie actie onderneemt rond cybersecurity. Maar de voorgestelde regels kunnen ontwikkelaars ontmoedigen om nog opensourceprojecten te starten uit vrees voor aansprakelijkheid.”

Columbro ziet concreet twee grote problemen in de wettekst. Eerst en vooral scheert de Europese Unie opensource over dezelfde kam als klassieke software, terwijl opensourcesoftware volgens een volledig ander marktmechanisme werkt. Columbro verduidelijkt: “Opensource is een veel complexer ecosysteem dat niet volgens een eenrichtingsverkeer verloopt zoals commerciële software”

De wet voorziet daarom wel een uitzondering voor opensource die niet voor commerciële doeleinden wordt gebruikt. Een te vage omschrijving, vindt Columbro. “Ik ga akkoord dat bedrijven die opensourcesoftware verkopen ter verantwoording moeten kunnen worden geroepen, maar vanaf wanneer is software commercieel? Kijk bijvoorbeeld naar GitHub: Git wordt gratis aangeboden, maar er zit wel een bedrijf met commerciële doeleinden achter. Moeten zij dan verantwoordelijk worden geacht voor elk project dat met GitHub wordt ontwikkeld?”

“Wij staan in dialoog met Europese instanties om amendementen op te stellen die het unieke karakter van opensourcesoftware beter vrijwaren”, gaat Columbro verder. “Er moeten duidelijkere definities komen om commerciële en niet-commerciële software van elkaar te onderscheiden. Ook hopen we dat platformen en stichtingen worden vrijgesteld.”

“Ik ga akkoord dat bedrijven die opensourcesoftware verkopen ter verantwoording moeten kunnen worden geroepen, maar vanaf wanneer is software commercieel?”
Gabriele Colombro, Linux Foundation Europe

Iedereen speelt een rol

De beveiliging van opensourcesoftware is een thema dat sterk leeft tijdens de laatste editie(s) van KubeCon. Columbro: “De Log4Shell-kwetsbaarheid was een stevige wake-up call voor bedrijven die opensourcesoftware gebruiken zonder een systeem te hebben om bugs te fixen. Iedereen speelt een rol in beveiliging, de vendoren natuurlijk voorop. Het is van belang dat bedrijven blijven investeren in het upstreamen van bug fixes; dit zou ook moeten kunnen worden uitgebreid naar softwarelicenties.”

Van vertrouwen tot constant in het oog houden: KubeCon trekt lessen uit Log4j

Columbro ziet in samenwerking de sleutel om de beveiliging van opensourcesoftware te handhaven. “We moeten globale standaarden hanteren rond beveiliging, deze bestaan ook al. Aparte regels voor de Europese industrie kan overvloedige fragmentatie in de hand werken. Er is ook nood aan meer academisch onderzoek in dit vakgebied en trainingen voor ontwikkelaars.”

“Security is uiteindelijk een onderdeel van de bredere discussie rond de duurzaamheid van het opensource-ecosysteem”, bouwt Columbro verder op zijn betoog. “Iets waar we ook aandacht voor moeten hebben, is hoe we onderhouders van software beter kunnen ondersteunen in hun werk. Zij moeten het vaak alleen doen: het stereotiepe beeld van de eenzame ontwikkelaar is niet overdreven. Ondersteuning kan door het leveren van bijdragen aan projecten, maar ook in het oprichtten van fondsen. De community is gelukkig een inhaalbeweging aan het maken.”

Techno-nationalisme

Beveiligingsrisico’s en -wetgevingen zijn niet de enige zaken waar Linux Foundation zich zorgen over maakt. De non-profitorganisatie publiceerde in januari een onderzoek om te waarschuwen voor een opkomst van ‘techno-nationalisme’ in Europa. Met deze term verwijst het onderzoek naar geopolitieke strategieën om technologieën af te schermen van politieke tegenstanders. Problematisch voor opensource, dat per definitie staat voor een open ecosysteem.

“Technologie is vandaag de dag een fundamenteel onderdeel geworden van de geopolitieke strategie van beleidsmakers” verduidelijkt Columbro. “Politieke conflicten zorgen voor een versnipperde markt en het onderzoek dat we hebben uitgevoerd, opende onze ogen dat dit ook in Europa een reëel probleem aan het worden is. Als je bepaalde partijen gaat uitsluiten van technologieën, ontstaat er ook competitie in domeinen waar dat minder wenselijk is, zoals security.”

Linux Foundation Europe werd in september 2022 opgericht in Brussel. In de huidige politieke context is dat een belangrijke strategische zet volgens Columbro. “De Europese Unie is een toonvoorbeeld van hoe staten kunnen samenwerken rond gemeenschappelijke doelen. Opensourcesoftware is ook een belangrijk onderdeel van de digitale strategie van Europa. Er is nood aan regionale initiatieven, al mag het zeker niet de bedoeling zijn om een Europese fractie te vormen. Integendeel, we willen net als een springplank optreden voor globale projecten.”

“Als je partijen gaat uitsluiten van technologieën, ontstaat er ook competitie in domeinen waar dat minder wenselijk is.”
Gabriele Colombro, Linux Foundation Europe

Bijeffecten

Columbro sluit het gesprek graag af op een positieve noot. “Europa heeft traditioneel altijd al een sterke opensourcegemeenschap gehad. Veel van onze leden zijn Europese organisaties. Tijdens KubeCon is duidelijk geworden dat de gemeenschap sterker staat dan ooit. Je kan zeggen dat een geloof in samenwerking eigen is aan de Europese visie. Met Sylva en OpenWallet hebben we enkele sterke projecten lopen die duidelijk illustreren wat we met opensource kunnen bereiken.”

Opensourcesoftware zal altijd een belangrijke rol spelen in de Europese technologiesector, zegt Columbro met volle overtuiging. “In Europa heb je geen grote technologiebedrijven zoals in de Verenigde Staten. Opensource biedt daarom vaak de beste kans voor Europese bedrijven om hun technologieën tot bij een globaal publiek te krijgen. Als we alle ‘ongewenste bijeffecten’ kunnen wegwerken, dan staat opensource een mooie toekomst te wachten.”

Lees meer over KubeCon 2023

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.