Usulan European Union tentang Cyber Resilience Act ( CRA ) telah memicu perdebatan sengit dalam komunitas open source, dengan para developer menolak upaya untuk memperlakukan mereka sebagai pemasok komersial. Kontroversi ini berpusat pada apakah kontributor sukarela harus menanggung tanggung jawab hukum atas masalah keamanan dalam perangkat lunak yang mereka distribusikan secara gratis.
Pemain Kunci dalam Oposisi CRA:
- Python Software Foundation (mengancam akan memblokir pengguna EU)
- Apache Software Foundation
- Linux Foundation
- Eclipse Foundation
Kesalahpahaman Supply Chain
Inti dari perdebatan ini terletak pada kesalahpahaman mendasar tentang bagaimana perangkat lunak open source bekerja. Supply chain manufaktur tradisional melibatkan hubungan berbayar antara pemasok dan pelanggan, dengan kontrak, garansi, dan kewajiban hukum. Namun, developer open source berargumen bahwa mereka beroperasi di bawah prinsip yang sama sekali berbeda - mereka adalah sukarelawan yang berbagi kode secara bebas, bukan pemasok komersial yang terikat oleh perjanjian bisnis.
Ancaman Python Software Foundation untuk memblokir pengguna EU pada tahun 2023 menggambarkan ketegangan ini. Ketika dihadapkan dengan potensi persyaratan untuk melakukan pekerjaan keamanan dan memperbaiki bug sesuai permintaan di bawah ancaman denda yang merusak, yayasan tersebut mempertimbangkan tindakan drastis. Konfrontasi ini memaksa pembuat undang-undang EU untuk mempertimbangkan kembali pendekatan mereka secara parsial, menyoroti dinamika kekuasaan yang sedang berlangsung.
Pertahanan As Is
Lisensi open source secara universal mencakup penafian yang menyatakan perangkat lunak disediakan apa adanya tanpa jaminan. Bahasa hukum ini secara eksplisit menolak hubungan pemasok-pelanggan apa pun. Developer menekankan bahwa pengguna menerima persyaratan ini ketika mengunduh perangkat lunak, mengakui bahwa mereka menanggung semua risiko.
Komunitas berargumen bahwa perusahaan yang menuntut akuntabilitas dari sukarelawan yang tidak dibayar sambil menolak untuk mengompensasi mereka menciptakan dinamika yang tidak berkelanjutan. Banyak proyek open source kritis berjuang secara finansial, dengan maintainer yang hampir tidak mampu membeli kebutuhan dasar meskipun perangkat lunak mereka mendasari sistem komersial utama.
Penafian Lisensi Open Source Standar: "PERANGKAT LUNAK INI DISEDIAKAN 'SEBAGAIMANA ADANYA', TANPA JAMINAN DALAM BENTUK APAPUN, BAIK TERSURAT MAUPUN TERSIRAT, TERMASUK NAMUN TIDAK TERBATAS PADA JAMINAN KELAYAKAN UNTUK DIPERJUALBELIKAN, KESESUAIAN UNTUK TUJUAN TERTENTU DAN TIDAK MELANGGAR HAK PIHAK LAIN."
Menemukan Jalan Tengah
Beberapa anggota komunitas mengusulkan model alternatif untuk menyelesaikan ketegangan ini. Konsep memisahkan distribusi perangkat lunak dari pengembangan telah mendapat daya tarik - mirip dengan bagaimana distribusi Linux seperti Ubuntu atau Red Hat mengemas dan mendukung perangkat lunak yang dibuat oleh orang lain. Di bawah model ini, distributor akan menanggung tanggung jawab atas paket yang mereka kirim, sementara developer asli tetap bebas dari kewajiban komersial.
Paksaan: melompati rintangan dokumen EU , melakukan pekerjaan keamanan, dan memperbaiki bug sesuai permintaan atau menghadapi denda yang merusak.
Pendekatan lain yang muncul melibatkan pengenaan biaya pemeliharaan untuk infrastruktur proyek sambil menjaga perangkat lunak itu sendiri tetap gratis. Model ini mengakui bahwa meskipun kode mungkin tersedia secara bebas, memelihara repositori, pelacak masalah, dan dukungan komunitas memerlukan sumber daya.
Model Distribusi Alternatif:
- Model Tradisional: Pengembang membuat dan mendistribusikan perangkat lunak secara langsung
- Model Distribusi: Distributor pihak ketiga (seperti Ubuntu/Red Hat) mengemas dan mendukung perangkat lunak
- Model Biaya Pemeliharaan: Perangkat lunak gratis dengan dukungan infrastruktur proyek berbayar
Status Regulasi Saat Ini
Perkembangan terbaru menunjukkan regulator EU mungkin menemukan pendekatan yang lebih seimbang. Menurut diskusi komunitas, versi terbaru dari CRA tampaknya melindungi kontributor open source dari tanggung jawab sambil mengharuskan perusahaan untuk mengembangkan rencana untuk mengelola dependensi open source mereka. Pergeseran ini merupakan kemenangan bagi upaya advokasi oleh yayasan besar termasuk Apache , Linux , dan Eclipse .
Perdebatan ini mencerminkan pertanyaan yang lebih luas tentang keberlanjutan infrastruktur digital. Karena masyarakat semakin bergantung pada perangkat lunak yang dipelihara sukarelawan, menemukan cara untuk mendukung proyek-proyek ini tanpa membebankan beban hukum yang tidak masuk akal tetap menjadi tantangan yang berkelanjutan. Sikap EU yang berkembang dapat berfungsi sebagai model untuk yurisdiksi lain yang bergulat dengan masalah serupa.
Referensi: I am not a supplier