Python Software Foundation (PSF), hazırlanmakta olan AB siber güvenlik yasalarının (Cyber Resilience Act – CRA), açık kaynak kuruluşlarını ve bireyleri yanlış kod dağıtmaktan haksız yere sorumlu tutulacağından endişe ediyor. PSF icra direktörü Deb Nicholson tarafından Salı günü paylaşılan bir bildiride şöyle denildi :
“Önerilen yasa şu anda yazıldığı gibi uygulanırsa, açık kaynak bileşenlerinin yazarları, bileşenlerinin başka birinin ticari ürününe uygulanma biçiminden yasal ve mali sorumlu tutulabilir.
Mevcut dil, yazılım tedariki için hiç ödeme almayan bağımsız yazarlar ile son kullanıcıların ödemeleri karşılığında ürün satan kurumsal teknoloji devleri arasında hiçbir ayrım yapmıyor.”
AB geçen yıl yazılım güvenliği ve sorumluluğunu ele alan iki yasa çıkardı. Ve o zamandan beri, teknik topluluk geniş bir şekilde hazırlanmış kurallara karşı olduğunu dile getiriyor. Siber Direnç Yasası, ürün üreticilerinin ürün güvenliğini gözden geçirmesini, güvenlik açığı azaltma prosedürlerini uygulamasını ve güvenlik bilgilerini müşterilere ifşa etmesini zorunlu kılarak dijital ürünlerin güvenliğini artırmayı amaçlıyor. Kamuoyu görüşü dönemi Kasım’da kapandı ve yasa için halkın katılımı dönemi 25 Mayıs’ta sona eriyor.
Yasa kapsamındaki azami para cezaları, hangisi daha büyükse, 15 milyon Euro’ya veya yıllık cironun yüzde 2,5’ine kadar çıkabilir. CRA henüz Avrupa Parlamentosu ve Konseyi tarafından kabul edilmedi.
Ürün Sorumluluğu Yasası (Product Liability Directive), diğer şeylerin yanı sıra yazılım güncellemelerinden kaynaklanan dijital ürün değişikliklerini de dahil ederek Avrupa ürün sorumluluğu kurallarını güncelliyor. Tüketicilerin yazılım revizyonları ile güvensiz hale getirilen ürünlerden zarar görmesi durumunda zararlarının tazmin edilmesini sağlayacak.
PSF ve Eclipse Foundation ve NLnet Labs dahil diğer kuruluşlar, ticari ürünlere konulan açık kaynak kuruluşları ve geliştiricilerin kodları nedeniyle sorumlu tutulmamaları için AB yetkililerini önerilen mevzuattaki geniş dili netleştirmeye çağırıyor.
Python programlama dilini küresel olarak denetleyen ve savunan kar amacı gütmeyen kuruluş Python Vakfı (PSF), açık kaynak geliştiricileri kod katkılarından sorumlu tutmanın, açık kaynak projelerine katkıda bulunanları caydıracağını savunuyor. Aşırı geniş olarak iki özel pasajdan alıntı yapıyor.
- Birincisi , 16. maddede “İmalatçı, ithalatçı veya distribütör dışındaki, dijital unsurlarla ürün üzerinde önemli bir değişiklik yapan gerçek veya tüzel kişi, bu Yönetmelik amaçları bakımından imalatçı olarak kabul edilir. “ Bu tanım, açık kaynaklı bir projede önemli bir değişiklik yapan herkesin bu değişikliğin sonuçlarından sorumlu olacağı şeklinde yorumlanabilir.
- İkincisi, “ticari bir faaliyetin dışında geliştirilen veya sağlanan ücretsiz ve açık kaynaklı yazılımları” muaf tutan ancak “ticari faaliyeti”, “üreticinin diğer hizmetlerden para kazandığı bir yazılım platformu sağlamak” olarak tanımlayan madde, PSF gibi tişörtler, etkinlik biletleri veya kodlama dersleri gibi her türlü ücretli ürün veya hizmeti sunan kuruluşlar için geçerli hale geliyor.
PSF, AB milletvekillerinin kamu yararına hizmet eden kamu yazılım havuzları ve kamu havuzlarında paketler barındıran kuruluşlar ve geliştiriciler için net muafiyetler sağlaması gerektiğini savunuyor.
PSF, endişelerini paylaşan herkesten bu duyguyu ve açık kaynak yazılımları koruması için gereken değişikliklerin yapılması talebini 26 Nisan’a kadar uygun bir AB Parlamento Üyesine iletmesini istiyor.