Hay un nuevo tira y afloja en el seno de la Unión Europea. La futura Ley de Ciberresiliencia ('Cyber Resilience Act') quiere atajar el problema de la ciberseguridad obligando a que los productos de software y hardware estén bien actualizados, pero la última propuesta legal tiene un problema de fondo que ha generado muchas críticas.
Alarma entre los desarrolladores open source. En una carta abierta a la Comisión Europea, una docena de desarrolladores de la comunidad open source han expresado que la ley de ciberseguridad, tal y como está escrita ahora mismo, puede tener un "efecto devastador" en su trabajo.
Entre los firmantes se encuentran organizaciones de renombre como la Linux Foundation Europe, Eclipse Foundation o la Open Source Initiative. Un grupo que argumento que el open source representa el 70% de los desarrollos de software en Europa, pero que no goza de la protección que creen merecen.
No tienen los recursos necesarios. El último borrador exigirá que dispositivos como electrodomésticos inteligentes estén actualizados y se mantengan al día de los parches de seguridad. De lo contrario podrían enfrentarse a multas de hasta 15 millones de euros.
El objetivo es que el software entre dentro de las exigencias de certificación, independientemente de si los desarrolladores han publicado ese código como open source o de forma privativa. Unos requisitos que no todos los desarrolladores podrían estar preparados para afrontar.
¿Avisar antes de parchear? El Reglamento además solicitará que los desarrolladores avisen de vulnerabilidades no parcheadas, lo que podría derivar en que precisamente estos fallos lleguen a un mayor público, avisan desde la Electronic Frontier Foundation.
Piden una excepción. "El software libre y de código abierto desarrollado o suministrado fuera del curso de una actividad comercial no debe estar cubierto por el presente Reglamento", solicitan en la carta abierta.
El argumento es que estos desarrolladores de código abierto suelen ofrecer su trabajo como acto de buena voluntad, pero si se les exigen responsabilidades añadidas podrían abandonar el código y el proyecto ante el temor de ser multados por el posible uso que haga cualquier otra organización, que muchas veces utilizan software libre sin avisar al propio creador del código.
Establecer el baremo por debajo es el problema de siempre. La problemática con la ciberseguridad es la misma que con la regulación de la IA. Los reguladores de la Unión Europea quieren establecer normas para asegurarse que todo se hace correctamente, pero no todos los implicados tienen los recursos necesarios para adaptarse. Puede estar bien que grandes empresas sigan este camino, pero al exigir a pequeñas empresas o desarrolladores open source se tiene el riesgo de pasarse de frenada. Y establecer el límite no es sencillo.
Organizaciones como Digital Europe han propuesto que se defina mejor qué significa actividad comercial para el software, con tal de establecer bien cuándo un software basado en open source debería cumplir los requisitos y cuándo no. Además explican que la necesidad de avisar de vulnerabilidades todavía no parcheadas en un producto que se pone a la venta es contraproducente.
Corregir estos problemas antes del texto final. Estos meses son de negociaciones. Para el 6 de julio se espera una reunión técnica final, mientras que el texto debería estar listo para el 19 de julio. Después del verano el Parlamento Europeo debería votar sobre esa propuesta. El objetivo de las organizaciones open source es que los responsables políticos sean conscientes de los riesgos de adoptar la ley de ciberseguridad tal y como está ahora planeada.
En Xataka | "Los piropos y los aplausos no son suficientes": el creciente hartazgo de los desarrolladores Open Source
Ver 5 comentarios
5 comentarios
Orbayo
Como siempre, gente haciendo leyes para lo que no tienen ni puta idea. Pesamos que España es un caso aislado pero no. Europa va muy mal.
- Quieren prohibir las VPN, el software libre y tu privacidad.
reiizumi
No lo acabo de pillar, entiendo que si tu producto "está a la venta" o es parte de un producto final vendible, esta ley te exigirá que tenga cierta seguridad. Esto ya se hace, cuando vendemos un producto, se entrega la lista de vulnerabilidades, dependencias, ... y tenemos un plan de actualizaciones cuando se encuentran soluciones a ellas.
El tema es que si utilizas librerías de terceros y estas tienen vulnerabilidades, lo único que puedes hacer es aceptarlo o cambiar por otras. Las que provienen de OpenSource hacen lo que pueden, no vas a exigirles que actualicen inmediatamente porque a ti te hace falta.
Peor aun si estas multas caen directamente sobre el OpenSource, que no tiene beneficio alguno.
En mi caso tengo algunas librerías o productos OpenSource publicados, se que tienen vulnerabilidades ya que Snyk me va avisando de ello, pero no tengo el tiempo ni las ganas de actualizarlo. Lo haré cuando pueda, si quiero.
ayrton_senna
No hay ningún problema para mantener un software actualizado durante 15 años si se utilizan las herramientas adecuadas.
El problema de base es que el 99% de las herramientas que utilizamos son BASURA comercial importado de EEUU.
Por poner un ejemplo en Francia, como en el resto del mundo, se utilizan lenguajes de mierda como Java/Javascript/pufoNer... Son productos de muy baja calidad desarrollados por incompetentes y establecidos como estándares oficiosos a base de campañas de márketing y propagación de la ignorancia. El detalle está en que en sistemas críticos como centrales nucleares o aviónica estos lenguajes de mierda que acabo de nombrar están prohibidos por ley y es obligatorio el uso de plataformas de desarrollo como OCalm.
Es la diferencia entre sistemas mantenibles y código espagueti para tirar al cubo de la basura.
La comunidad OOSS (básicamente multinacionales americanas disfrazadas de "buen rollete" que quieren gente que trabaje gratis, ya que el mundo anglomamón siempre ha sido muy dado a la economía de esclavos) tiene los mismos problemas que el resto de los desarrolladores.
Si yo pago por algo quiero que ese "algo" tenga unas condiciones mínimas de calidad.
Esta ley es una gran bendición pues puede poner a los inútiles que parasitan el mundo del software fuera del mercado.