Cyber Resilience Act (CRA): Gefahr für Open Source?

Denen traue ich alles zu. Ich befürchte Neusprech bei der "EU".

Zitat von evilware666

Wie seht ihr die Sache, könnte Open-Source-Software wirklich dadurch ins »Hintertreffen« geraten, wie es der Autor beschreibt?

Wenn Communities und Entwickler für Probleme ihrer freien Software-Produkte haftbar gemacht werden,

so wie es z.T. vorgesehen ist, wird dies nicht ihre Bereitschaft erhöhen, ihre freiwillige, nichtentlohnte Arbeit

weiterzuverbreiten bzw. zu entwickeln. Oder sie haben einfach nicht mehr die Zeit dazu, da sie sich mit

Abmahnwellen herumschlagen müssen.

In den aktuellen Entwicklung dieser Gesetzgebung liegt eine Menge Sprengstoff für die FLOSS-Community,

die weitreichende Konsequenzen haben kann -- IMHO verdient diese wesentlich mehr Beachtung.

Noch habe ich genug Optimismus, dass sich eine Vernunftslösung einstellen wird, aber sicher bin ich mir

dabei überhaupt nicht.

<\sarkasmus an>

Mit der Freiheit der Software wäre es dann wohl ziemlich aus, wenn in der EU irgendwann einmal:

-- FLOSS nur noch per VPN heruntergeladen werden kann, bzw.

-- Versionsverwaltungssysteme ins Tor-Netzwerk verlegt werden, bzw.

-- Medien uns Forenteilnehmer hier als böse Buben brandmarken, die arme, hilflose

Nutzer dazu verleiten die sichere Seite der proprietären Software zu verlassen und

damit in den Ruin stürzen ....

Ist es nicht bei freier Software in fast allen Fällen auch so, dass die Nutzung auf eigene Gefahr erfolgt?

Man kann ja auch nicht den Schöpfer eines Berges zur Rechenschaft ziehen, wenn man runter fällt.

Denken die sich eigentlich irgend etwas dabei?

Zitat von Currock

Ist es nicht bei freier Software in fast allen Fällen auch so, dass die Nutzung auf eigene Gefahr erfolgt?

Man kann ja auch nicht den Schöpfer eines Berges zur Rechenschaft ziehen, wenn man runter fällt.

Denken die sich eigentlich irgend etwas dabei?

Es geht hier um die zukünftige EU-Gesetzgebung. Solange ganz klar ist, dass die FOSS gemeinnützig

ist, wird der Entwickler nach den derzeitigen Entwürfen nicht belangt. Aber sobald der Entwickler regelmäßig

Spenden von Unternehmen oder von einem Unternehmensmitarbeiter erhält (und das ist eine sehr dehnbare

Auslegung, denn welche Linux-Distro erhält nicht Spenden von Menschen, die in irgendeinem Unternehmen

beschäftigt sind?), soll die Haftung nach dem Entwurf eines Ausschusses auf den Entwickler verlagert werden.

Quelle

Zitat von staryvyr

Aber sobald der Entwickler regelmäßigSpenden von Unternehmen oder von einem Unternehmensmitarbeiter erhält (und das ist eine sehr dehnbare Auslegung, denn welche Linux-Distro erhält nicht Spenden von Menschen, die in irgendeinem Unternehmen beschäftigt sind?), soll die Haftung nach dem Entwurf eines Ausschusses auf den Entwickler verlagert werden.

Die Begründung will ich mal sehen. In den Nutzungsbedingungen "Nutzung auf eigene Gefahr, es wird keine Haftung übernommen" sollte doch reichen.

Was hat das mit Spenden zu tun?

Zitat von Currock

Die Begründung will ich mal sehen. In den Nutzungsbedingungen "Nutzung auf eigene Gefahr, es wird keine Haftung übernommen" sollte doch reichen.

Was hat das mit Spenden zu tun?

"Nutzung auf eigene Gefahr" reicht dann nicht mehr. Dann fällt unter "Verbraucherschutz", dass diejenigen, die

Software bereitstellt, zusätzliche Auflagen haben, die Sicherheit der Software aufrechtzuerhalten:

Einen guten Überblick über die aktuelle Situation findest Du hier (da werden auch die Spenden erwähnt):

Understanding the Cyber Resilience Act: What Everyone involved in Open Source Development Should Know

What does the Cyber Resilience Act mean for you? This introduction to the Act explains how it may affect the open source maintainers and developer community.

www.linuxfoundation.org

Zitat von Currock

Ist es nicht bei freier Software in fast allen Fällen auch so, dass die Nutzung auf eigene Gefahr erfolgt?

Man kann ja auch nicht den Schöpfer eines Berges zur Rechenschaft ziehen, wenn man runter fällt.

Denken die sich eigentlich irgend etwas dabei?

Guten Abend und Hallo Currock 🖐🏼

das FOSS oder FLOSS-Software immer Missbraucht wird und wurde das ist nichts neues siehe Audacity Telemetry -> https://lehrerfortbildung-bw.de/st_digital/med…audio/audacity/ , https://www.golem.de/news/open-sour…105-156518.html <- nach großen Widerstand der Audacity-Community ziehten die Entwickler von Audacity den Telemetry-Unterbau im Programm zurück aber es geht auch anders wie das Freie-Projekt "Open Telemetry" zeigt -> https://opentelemetry.io/ , https://opentelemetry.io/docs/ <- mit diesem Werkzeugen werden alle erhobenen Daten anonymisiert, wo nur der Datan-Traffic gescant wird bei Unternehmen.

Zum anderen weiß, hier im Linux-Guides-Forum fast jeder das man auch den Spieß, umdrehen kann im Bezug auf Datendiebstahl bestes Beispiel ist das Betriebssystem der NSA das SELinux hier mal ein kleines Zitat aus Wiki "SELinux ist eine Erweiterung des Linux-Kernels, die den ersten Versuch darstellt, das FLASK-Konzept des US-amerikanischen Geheimdienstes NSA umzusetzen. Es implementiert die Zugriffskontrollen auf Ressourcen im Sinne von Mandatory Access Control." -> https://de.wikipedia.org/wiki/SELinux

Man hat ja auch noch diese Option und eventuell sind auch Freie-Entwickler so gut und benutzen diese Möglichkeit -> "Mandatory access control (MAC) is a model of access control where the operating system provides users with access based on data confidentiality and user clearance levels. In this model, access is granted on a need to know basis: users have to prove a need for information before gaining access."

Weil die Vorlage gibt es ja schon -> https://www.nsa.gov/portals/75/doc…resentation.pdf <- dies könnte ich mir auch bei Programmen und Protablen-Programmen für GNU/Linux gut Vorstellen, https://securityboulevard.com/2023/04/mandat…aining%20access.

Das die Europäische Union "Identitätsmanagementsysteme" einpflegen will ist auch nichts neues siehe digital Rezept oder KI-Managementsysteme -> https://www.bigdata-insider.de/ki-managements…58e79dfb4f425a/ , https://digital-strategy.ec.europa.eu/de/policies/plan-ai <- dies sehe ich weit aus kritischer wer will schon gläsern seien!

Zu der Problematik "Identitätsmanagementsysteme" in Windows 12 mit Hilfe der integrierten KI sehe ich da auch sehr sehr bedenklich aber was Microsoft Plant und macht juckt mich nicht mehr da Windows 10 eh mein letztes Microsoft-Betriebssystem ist.

-> https://winfuture.de/news,134899.html "Microsoft: Künftige Windows-Versionen mit mehr KI-Funktionen"

, https://winfuture.de/news,136021.html "Microsoft & AMD bauen gemeinsam KI-Chips - pünktlich zu Windows 12?" <- ich für meinen Teil kann sehr gut auf KI und

Identitätsmanagementsysteme verzichten.

LG von Schatten-Nacht 🖐🏼

Zitat von evilware666

Moin Moin!

Ich habe einen Artikel gelesen, der zusammengefasst diesen Inhalt hat:

Der Cyber Resilience Act (CRA) der EU könnte Open Source-Software in Europa gefährden, trotz der Ausnahme für nicht kommerzielle Nutzung. Diese vagen Formulierungen verursachen Bedenken in der Open Source-Community. Verstöße gegen den CRA könnten Unternehmen Millionenstrafen einbringen und Open Source-Aktivitäten einschränken. Das würde die Dominanz großer IT-Giganten fördern und die Vielfalt in der europäischen Softwareindustrie gefährden. Es besteht jedoch Hoffnung, dass Verhandlungen und Anpassungen des CRA zu einer positiven Lösung für die Open Source-Community führen können. Dies ist entscheidend, da Open Source eine Schlüsselrolle für Europas IT-Infrastruktur und digitale Souveränität spielt.

Wie seht ihr die Sache, könnte Open-Source-Software wirklich dadurch ins »Hintertreffen« geraten, wie es der Autor beschreibt?

Original-Artikel

MFG: Evilware666

Alles anzeigen

Guten Morgen und Hallo evilware666 🖐🏼

sehr guter Beitrag und nochmals fetten Dank an dich für deine Recherche zur Transparenz in Open-Source und was die EU alles verhunzen will nur damit es Freie-Entwickler schwerer haben ihre Software egal ob Open-Source oder Closed Source für Benutzer / Benutzerinnen umzusetzen was diese CRA Konstrukt wird und wie es Umgesetzt wird, wird die Zeit und die Annahme der Benutzer / Benutzerinnen von Software zeigen da der Artikel nur auf einen CRA-Entwurf gerichtet wird sich wahrscheinlich was die Regularien betrift bei Open-Source Software noch einiges ändern was in dem Artikel noch nicht drin steht.

LG von Schatten-Nacht 🖐🏼

Noch ein kleiner Nachtrag zu der Problematik der Datenüberwachung by Well:Erdball - Der Mensch Aus Glas (C64 Version) aus dem Jahr 2003 ->

Synthetic Symphony – SPV 055-63623 CDS-E

LG von Schatten-Nacht 🖐🏼