Misschien heb je er al van gehoord: de EU bereidt haar Cyber Resilience Act (CRA) voor, een Europese wet over hardware en software. Deze CRA komt onze kant op en is van invloed op Joomla en andere open source software.

De impact op Vrije en Open Source Software zou zelfs zo groot en significant kunnen zijn dat de vier grote CMS'en (Drupal, Joomla, Typo3 en WordPress) besloten hebben samen te werken om hier iets aan te doen. De eerste stappen in deze samenwerking waren een gezamenlijke Open Brief aan EU wetgevers (25 juli 2023) en een gezamenlijk webinar op 2 augustus 2023. Tijdens dit webinar legden Crystal Dionysopoulos (Joomla), Tim Doyle (Drupal), Mathias Bolt Lesniak (Typo3), Josepha Haden Chomphosy (WordPress) en Ciarán O'Riordan (Open Forum Europe) de CRA, samen met hun zorgen, uit aan hun gemeenschappen (500 mensen schreven zich daarvoor in).

Wat is het idee achter de CRA?

De bedoeling van de CRA is om de cyberbeveiliging van software en hardware in de EU te reguleren. De CRA wil zakelijke gebruikers en consumenten beschermen door ervoor te zorgen dat producten in de EU minder kwetsbaar zijn, het beveiligingsproces transparant en duidelijk is en fabrikanten verantwoordelijk zijn voor de cyberbeveiliging van een product gedurende de gehele levenscyclus.

Wacht even, je zegt 'fabrikanten'?

Daar komen we later op terug.

Oké, terug naar het voornemen dan. Het is een goed voornemen, toch? We zijn allemaal voor veilige software. We zijn zowat het veiligste CMS ter wereld! We zouden deze CRA helemaal moeten steunen!

Ja. En we zijn het volledig eens met de bedoelingen. In feite zijn de bedoelingen van de CRA in lijn met de standaarden van Vrije en Open Source Software.

Waarom dan deze ophef? Wat in de CRA is er zo belangrijk dat we een alliantie moeten vormen met onze concurrenten? Want dat hebben we nog nooit gedaan, dat is zeker.

Dit is inderdaad de eerste keer dat de vier grote Content Management Systemen (Drupal, Joomla, Typo3 en WordPress), die samen 50% van alle Europese websites aandrijven, samenwerken.

We hebben eigenlijk veel gemeen. We werken allemaal onder een GPL-licentie, we zijn allemaal PHP-gebaseerd, we zijn community-gericht en we hebben allemaal meer dan 18 jaar ervaring. Ieder van ons is een organisatie zonder winstoogmerk, we vertrouwen op bijdragen van bedrijven, we zijn gedreven door vrijwilligers en onze producten voeden voornamelijk kleine bedrijven. Samen staan we sterk!

Dus, om je vraag te beantwoorden: het is niet de CRA zelf, het is de formulering. De manier waarop het geschreven is, geeft geen duidelijk inzicht in wat Open Source Software eigenlijk is en hoe het ontwikkeld wordt, en dat resulteert in delen van de CRA die potentieel schadelijk zijn voor ons allemaal en uiteindelijk kunnen resulteren in software die minder veilig is in plaats van veiliger.

Dat klinkt helemaal niet goed. Wat zijn de grootste zorgen?

Drie dingen.

Ten eerste is er dit gedeelte:

Om innovatie of onderzoek niet te belemmeren, dient vrije en open source software die buiten het kader van een commerciële activiteit wordt ontwikkeld of geleverd, niet onder deze verordening te vallen. Dit geldt met name voor software, met inbegrip van de broncode en gewijzigde versies, die openlijk wordt gedeeld en vrij toegankelijk, bruikbaar, wijzigbaar en herdistribueerbaar is. In de context van software kan een commerciële activiteit niet alleen worden gekenmerkt door het aanrekenen van een prijs voor een product, maar ook door het aanrekenen van een prijs voor technische ondersteuningsdiensten, door het aanbieden van een softwareplatform waarmee de fabrikant andere diensten te gelde maakt, of door het gebruik van persoonsgegevens om andere redenen dan uitsluitend ter verbetering van de veiligheid, compatibiliteit of interoperabiliteit van de software.

Het is volstrekt onduidelijk wat dit betekent. De definitie van "commerciële activiteit" is veel te breed en erg onduidelijk. Mensen verdienen geld door onze software te gebruiken om websites te maken of te onderhouden, of door uitbreidingen te ontwikkelen. In deze definitie zou dat gemakkelijk als commerciële activiteit kunnen gelden. Zou de CRA in dat geval op ons van toepassing zijn? En is er überhaupt Vrije en Open Source Software die voldoet aan deze criteria voor commerciële activiteiten? Elk CMS ecosysteem heeft geld nodig om te kunnen bestaan.

Ten tweede is er het begrip "onafgewerkte software". De regel stelt alleen onvoltooide software vrij die alleen beschikbaar is voor testdoeleinden en niet beschikbaar is op de markt. Zulk taalgebruik gaat voorbij aan de realiteit van moderne softwareontwikkeling die het uitbrengen van software bevordert om meer feedback te krijgen.

En onze derde zorg beantwoordt je vraag over fabrikanten. De regel past het principe dat een fabrikant van een product aansprakelijk is voor het gebrek aan veiligheid toe op softwarebeveiliging. Dit is een beetje anders in onze situatie, omdat, nou ja, we hebben niet één 'fabrikant'. Dat is waar open source om draait. En als er niet één fabrikant is, wie is er dan verantwoordelijk voor bugs en veiligheidsrisico's? Je raadt het al: elke ontwikkelaar die heeft bijgedragen aan de Joomla code. Dit zou het opnemen van FOSS in softwareoplossingen van de EU onwerkbaar kunnen maken.

Dus wat je eigenlijk zegt is dat we allemaal enorme boetes kunnen krijgen als een beveiligingsprobleem in Joomla ergens problemen veroorzaakt?

In theorie: ja. We kunnen wettelijk aansprakelijk worden gesteld voor kwetsbaarheden. En dat niet alleen.

De CRA zou een impact kunnen hebben op onze projecten en het open source ecosysteem als geheel.

Non-profit verenigingen/organisaties kunnen worden gecategoriseerd als 'commercieel' en worden

gedwongen worden om te voldoen aan een standaard die onze open source manier van leven beperkt. Het beperken of verhinderen van het uitbrengen van vroege versies (alfa- en bètaversies) zou ontwikkeling een stuk moeilijker kunnen maken.

Bijdragen leveren (door vrijwilligers, mensen die betaald krijgen of gesponsord worden) kan ingewikkelder worden om te blijven voldoen aan de eisen van de CRA. Onze bredere gemeenschappen (webagentschappen, extensie-ontwikkelaars, etc.) en kleine bedrijven/producten zouden ineens moeten voldoen aan de CE-markeringseisen.

Dat zou zeker het plezier uit het bijdragen halen. Hoe kunnen we voorkomen dat dit gebeurt?

Dat kunnen we niet en dat is ook niet wat we willen.

We willen er zeker van zijn dat de mensen die verantwoordelijk zijn voor de CRA begrijpen hoe Open Source Software werkt en hoe de formulering veranderd moet worden om het duidelijker te maken voor iedereen.

Hoe gaan we dat doen?

We zullen blijven samenwerken om dit voor elkaar te krijgen. Het webinar op 2 augustus was de eerste stap in het informeren van onze gemeenschappen.

Aangezien Open Source hoe dan ook zal worden opgenomen, is de beste manier om negatieve gevolgen te minimaliseren constructief samen te werken met de EU. Dus dat is wat we gaan doen. We hebben een Open Brief geschreven gericht aan EU-wetgevers (lees hem hier: https://www.joomla.org/announcements/general-news/5891-open-letter-foss-cms-cyber-resilience-act.html), en we bieden proactief open-source-first taal en best practices aan die (hopelijk) de uiteindelijke formulering van de CRA zullen beïnvloeden.

We gaan een seminar organiseren in Brussel om persoonlijk met wetgevers te discussiëren over de aard van open source projecten en gemeenschappen. Dit seminar zal plaatsvinden in september/oktober 2023.

Hoe kan ik helpen?

Praat hierover. Schrijf hierover. Maak hier video's over. Lobby. Verspreid het woord! Dit artikel delen op je socials is misschien een goed begin 🙂

Het zou ook erg handig zijn als je wat suggesties zou kunnen delen voor goede beveiligingspraktijken voor open source projecten, voor zowel core als extensie ontwikkeling, zodat we concrete ideeën kunnen voorstellen aan wetgevers.

Voel je vrij om hieronder te reageren of te delen in het speciale Mattermost kanaal: https://joomlacommunity.cloud.mattermost.com/main/channels/cyber-resilience-act (nog niet op Mattermost? Sluit je bij ons aan! Dit is hoe: https://magazine.joomla.org/all-issues/november-2022/getting-the-most-out-of-mattermost.

Met dank aan: Anja de Crom
Vertaald met Deeple.com bron: Joomla and the EU Cyber Resilience Act - The Joomla Community Magazine