De Europese Cyber Resilience Act legt strenge beveiligingseisen op aan ontwikkelaars van software. Ook opensourcesoftware blijft niet buiten schot. Maar de voorgestelde regels kunnen de toekomst van opensource in gevaar brengen, waarschuwen spelers uit de sector.
De Europese Unie is volop bezig met de krijtlijnen van de Cyber Resilience Act op papier te zetten. De wet is een ambitieuze poging om duidelijke regels rond cybersecurity op te leggen aan fabrikanten van hardware en software. Fabrikanten die de beveiliging van hun producten niet te nauw nemen, riskeren hoge boetes en/of een verbod om hun product(en) nog op de Europese markt te verkopen. Hiermee hoopt Europa het aantal cyberaanvallen te kunnen terugdringen.
Maar het huidige wetsvoorstel is niet vrij van discussie. Met name de opensourcegemeenschap trekt aan de alarmbel. Dertien belangengroepen ondertekenden een open brief aan de Europese Unie om de regels rond opensourcesoftware te herzien. Dit gezamenlijke statement werd nog eens duidelijk uitgesproken tijdens de recente KubeCon-conferentie in Amsterdam.
lees ook
Europese Cyber Resilience Act doorgelicht: een doorbraak voor cybersecurity?
Geen eenrichtingsverkeer
Tijdens de beurs ontmoeten we Gabriele Columbro, General Manager van Linux Foundation Europe, dat de open brief mee ondertekende, om over dit heikele onderwerp te spreken. “Voor alle duidelijkheid: ik steun de doelstellingen van de Cyber Resilience Act. Het is een goede zaak dat de Europese Unie actie onderneemt rond cybersecurity. Maar de voorgestelde regels kunnen ontwikkelaars ontmoedigen om nog opensourceprojecten te starten uit vrees voor aansprakelijkheid.”
Columbro ziet concreet twee grote problemen in de wettekst. Eerst en vooral scheert de Europese Unie opensource over dezelfde kam als klassieke software, terwijl opensourcesoftware volgens een volledig ander marktmechanisme werkt. Columbro verduidelijkt: “Opensource is een veel complexer ecosysteem dat niet volgens een eenrichtingsverkeer verloopt zoals commerciële software”
De wet voorziet daarom wel een uitzondering voor opensource die niet voor commerciële doeleinden wordt gebruikt. Een te vage omschrijving, vindt Columbro. “Ik ga akkoord dat bedrijven die opensourcesoftware verkopen ter verantwoording moeten kunnen worden geroepen, maar vanaf wanneer is software commercieel? Kijk bijvoorbeeld naar GitHub: Git wordt gratis aangeboden, maar er zit wel een bedrijf met commerciële doeleinden achter. Moeten zij dan verantwoordelijk worden geacht voor elk project dat met GitHub wordt ontwikkeld?”
“Wij staan in dialoog met Europese instanties om amendementen op te stellen die het unieke karakter van opensourcesoftware beter vrijwaren”, gaat Columbro verder. “Er moeten duidelijkere definities komen om commerciële en niet-commerciële software van elkaar te onderscheiden. Ook hopen we dat platformen en stichtingen worden vrijgesteld.”
“Ik ga akkoord dat bedrijven die opensourcesoftware verkopen ter verantwoording moeten kunnen worden geroepen, maar vanaf wanneer is software commercieel?”
Gabriele Colombro, Linux Foundation Europe
Iedereen speelt een rol
De beveiliging van opensourcesoftware is een thema dat sterk leeft tijdens de laatste editie(s) van KubeCon. Columbro: “De Log4Shell-kwetsbaarheid was een stevige wake-up call voor bedrijven die opensourcesoftware gebruiken zonder een systeem te hebben om bugs te fixen. Iedereen speelt een rol in beveiliging, de vendoren natuurlijk voorop. Het is van belang dat bedrijven blijven investeren in het upstreamen van bug fixes; dit zou ook moeten kunnen worden uitgebreid naar softwarelicenties.”
lees ook
Van vertrouwen tot constant in het oog houden: KubeCon trekt lessen uit Log4j
Columbro ziet in samenwerking de sleutel om de beveiliging van opensourcesoftware te handhaven. “We moeten globale standaarden hanteren rond beveiliging, deze bestaan ook al. Aparte regels voor de Europese industrie kan overvloedige fragmentatie in de hand werken. Er is ook nood aan meer academisch onderzoek in dit vakgebied en trainingen voor ontwikkelaars.”
“Security is uiteindelijk een onderdeel van de bredere discussie rond de duurzaamheid van het opensource-ecosysteem”, bouwt Columbro verder op zijn betoog. “Iets waar we ook aandacht voor moeten hebben, is hoe we onderhouders van software beter kunnen ondersteunen in hun werk. Zij moeten het vaak alleen doen: het stereotiepe beeld van de eenzame ontwikkelaar is niet overdreven. Ondersteuning kan door het leveren van bijdragen aan projecten, maar ook in het oprichtten van fondsen. De community is gelukkig een inhaalbeweging aan het maken.”
Techno-nationalisme
Beveiligingsrisico’s en -wetgevingen zijn niet de enige zaken waar Linux Foundation zich zorgen over maakt. De non-profitorganisatie publiceerde in januari een onderzoek om te waarschuwen voor een opkomst van ‘techno-nationalisme’ in Europa. Met deze term verwijst het onderzoek naar geopolitieke strategieën om technologieën af te schermen van politieke tegenstanders. Problematisch voor opensource, dat per definitie staat voor een open ecosysteem.
“Technologie is vandaag de dag een fundamenteel onderdeel geworden van de geopolitieke strategie van beleidsmakers” verduidelijkt Columbro. “Politieke conflicten zorgen voor een versnipperde markt en het onderzoek dat we hebben uitgevoerd, opende onze ogen dat dit ook in Europa een reëel probleem aan het worden is. Als je bepaalde partijen gaat uitsluiten van technologieën, ontstaat er ook competitie in domeinen waar dat minder wenselijk is, zoals security.”
Linux Foundation Europe werd in september 2022 opgericht in Brussel. In de huidige politieke context is dat een belangrijke strategische zet volgens Columbro. “De Europese Unie is een toonvoorbeeld van hoe staten kunnen samenwerken rond gemeenschappelijke doelen. Opensourcesoftware is ook een belangrijk onderdeel van de digitale strategie van Europa. Er is nood aan regionale initiatieven, al mag het zeker niet de bedoeling zijn om een Europese fractie te vormen. Integendeel, we willen net als een springplank optreden voor globale projecten.”
“Als je partijen gaat uitsluiten van technologieën, ontstaat er ook competitie in domeinen waar dat minder wenselijk is.”
Gabriele Colombro, Linux Foundation Europe
Bijeffecten
Columbro sluit het gesprek graag af op een positieve noot. “Europa heeft traditioneel altijd al een sterke opensourcegemeenschap gehad. Veel van onze leden zijn Europese organisaties. Tijdens KubeCon is duidelijk geworden dat de gemeenschap sterker staat dan ooit. Je kan zeggen dat een geloof in samenwerking eigen is aan de Europese visie. Met Sylva en OpenWallet hebben we enkele sterke projecten lopen die duidelijk illustreren wat we met opensource kunnen bereiken.”
Opensourcesoftware zal altijd een belangrijke rol spelen in de Europese technologiesector, zegt Columbro met volle overtuiging. “In Europa heb je geen grote technologiebedrijven zoals in de Verenigde Staten. Opensource biedt daarom vaak de beste kans voor Europese bedrijven om hun technologieën tot bij een globaal publiek te krijgen. Als we alle ‘ongewenste bijeffecten’ kunnen wegwerken, dan staat opensource een mooie toekomst te wachten.”