A la Python Software Foundation (PSF) le preocupa que las leyes de ciberseguridad de la UE propuestas hagan que las organizaciones de código abierto y las personas sean injustamente responsables de distribuir código incorrecto. "Si la ley propuesta se aplica tal como está escrita actualmente, los autores de los componentes de código abierto podrían asumir la responsabilidad legal y financiera por la forma en que se aplican sus componentes en el producto comercial de otra persona".
|
etiquetas: python , reglas , ciberseguridad , europa
Analogía: es como si yo hago una receta, la comparto en Internet y luego alguien con una enfermedad de corazón me exige a mí que le pague una indemnización porque mi receta tenía demasiadas calorías y colesterol.
Analogía: es como si yo hago una receta, la comparto en Internet y luego alguien con una enfermedad de corazón me exige a mí que le pague una indemnización porque mi receta tenía demasiadas calorías y colesterol.
Es como si una empresa pavimenta una calle, y luego la quieren responsabilizar de un accidente de tráfico por exceso de velocidad. ¿Tenían que haber dejado la calle llena de baches para que no se pudiera correr? Entonces la culpa será por los daños en las suspensiones y dirección y todo eso.
Que no mantenga nadie Python a ver qué pasa. Y de paso que borren el código escrito por cada uno
Incluso el eMule se usa para compartir material legal sin depender de terceras partes.
Si yo compro un cuchillo, y en vez de usarlo para cortar un filete, me dedico a apuñalar gente, entiendo que en el comerciante no tiene la culpa.
Si ahora yo compro un pistola, y el vendedor no valida que yo tenga todo en regla, entonces lo que haga también le podría recaer a él.
No se si va así la comparativa.
EDITO: o sea: si eres una empresa que vende los cuchillos, tienes que hacerte responsable sí o sí. Si eres una empresa que distribuye, bajo pago, cuchillos hechos por otro, eres responsable también. Si eres el diseñador del cuchillo y has cobrado por hacer el diseño, eres responsable. Hay una excepción, que es que si haces el diseño gratis ("software libre") entonces no eres responsable, sino sólo quien lo fabrique y venda.
Por tanto aquí está la cuestión de que la ley no está bien escrita, y la fundación Python, que es la dueña de Pypi (el repositorio donde los desarrolladores pueden subir sus módulos para que quien los necesite pueda instalarlos fácilmente con PIP), como recibe dinero, podría ser hecha responsable de los fallos de los módulos albergados en Pypi.
Tantas décadas diciendo "que viene el lobo" que al final llegará y nos pillará pasando de todo.
En todo caso, creo que si bien es comprensible que no es software comercial, o que el software nunca está excento de errores a la vez que no cobran por su uso. Igual sí sería comprensible que fueran responsable por alguna negligencia manifiesta, o que simplemente se vieran obligados a contratar un seguro civil.
Tampoco me parece tan descabellado, al menos como para no considerar el debate por zanjado antes de empezar, y que conste que principalmente estoy de acuerdo contigo.
Como mucho se pueden pedir responsabilidades, que apenas se hace, a los intermediarios que venden software comercial que incluye código abierto, que a lo mejor sí podría hacérsenos responsables de revisarlo. Frenaría mucho el sector esto, pero es menos absurdo.
Ahora además, imagina que dicha persona, si bien no cobra por los juguetes, de alguna forma subsiste gracisa a esa actividad, por donaciones, o por otro tipo de aportes, o actividades de pago.
Al menos en sí mismo, como poco, me parece un debate que no es trivial. Sobre todo si abramos de organizaciones de software libre, ya es un tipo que hace juguetes, sino una ONG, que tampoco cobra, regala juguetes, y se financia de otras formas...
Como repositorios, los elementos que alberga, pueden ser modificables o no, pero siempre bajo la elección de quien lo sube al repositorio.
Entiendo que más allá de evitar el acceso a gente no se permita, no le veo más responsabilidad, en principio.
Apuntando a lo que dices, junto a #26, tendrías que tener un chequeo en cada uno de los puntos de que el producto no ha sido alterado de su concepción inicial, y que pasa las pruebas que se aplicaron en su producción, además de tener un conocimiento profundo del producto para evaluar adecuadamente si funciona bien o no.
Con lo cual, siendo un sistema de almacenaje, te puede entrar un cuchillo, un juguete, un medicamento, un coche, o un arma aliénigena. Y para todo deberás saber evaluar que eso funciona.
Es decir, al que vende un juguete, un coche, o un cuchillo, no se le exige que pase la normativa europea de calidad, se le exigirá que el negocio esté bajo unos estándares para que el producto no se vea alterado, por ejemplo.
No lo veo tan trivial, y no tengo ni idea de derecho a nivel de código o de lo que quieren hacer.
Gracias a #18 y #26 por las explciaciones
Es la UE actual, la de las empresas y de "me cago en los ciudadanos"...
La UE es imbécil.
La bolsa en Europa sufriría algo como el Crack del 29 pero a lo bestia. Orange y demás hundidas a ataques por aguantar sistemas propietarios sin la misma eficiencia probada que el código libre.
Y las empresas francesas y alemanas huyendo a EEUU a poner sus sedes ahí. Creo que la UE cagada de miedo por la que se le viene encima, recula al día siguiente.
Y los que hayan sugerido esto, a la puta calle sin reservas. Todos los altos cargos con las maletas en al puerta y adiós muy buenas.
La economía de la UE y Alemania mediohundidas. La seguridad, en la mierda. La producción, parada como el Covid o peor. Al día siguiente los leguleyos huyen porque si no media economía europea los lincha. Y con razón.
Lo de la UE es como echar la culpa a Euclides, Maxwell o Newton. Totalmente de idiotas.
Me parece que tiene que ver por temas de copyright y por tipos que legislan sin saber. La UE también quiere acabar con la encriptación en chats y similares con las excusas de siempre de proteger a los niños, y ya hay países que han dicho que no.
Pero aún cambiándola, y dejando a los que no cobren fuera, hay ya mucho histórico de clausulas de software, y verán por todos lados "software provided as is", las descargas de responsabilidades y todas esas cosas. A ver quien el el guapo que se pone a intentar aplicar esta norma de manera retroactiva o se pone a demandar a Microsoft por que el windows 3.11 tiene un fallo de seguridad.
Pero es que además es un acuerdo privado sobre el que mandaría la regla, que ya puedes poner lo que quieras en tu licencia, que si lleva la contraría a la nueva regla y aceptaste la licencia después de que se aprobara la regla, la licencia vale 0.
Tú y yo podemos firmar si quieres un contrato de trabajo por 168 horas a la semana y 1 € de salario, pero al ser privado y estar prohibido por una ley, ese contrato tiene una validez de 0. Un acuerdo privado no vale nada si contradice una ley.
Vas a ver lo que es convertirte en un país de Europa del este o peor.
No vas a tener desde medicina a telecos. Vas a volver a los años 70 y vas a desear no haberse realizado dicha la ley.
Cuando media industria francesa y alemana se coloque en EEUU a esos legislativos les doy dos días para que no le quemen el coche o algo peor.
El responsable es el que desarrolla la implementación del software. Hay herramientas de testeo con garantias de funcionamiento contra eventualidades y errores del 99%, lo suficiente fiables para continuar frente a un error.
Los problemas, para el que despliegue el software, no para el que lo crée.
Lo otro es acabar con Europa.
Es parecido a lo del hardware, aquello de comprar un teléfono que no puedes ni reparar porque ni siquiera es de tu propiedad.
Los grandes acorralando a los pequeños, la dinámica habitual del capitalismo, en lugar de apostar desde los gobiernos por standards de código abierto para su propio funcionamiento.
En resumen, que nos roban a manos llenas.
Y sí, en cierto modo por imbéciles.
Así que no hay mucha noticia, la selección natural actuando como desde hace millones de años, aquí no hay nada que ver, circulen.
Un sistema como GUIX, un GNU/Linux replicable y trazable desarrollado por gente de TODO el planeta frente a implementaciones propietarias chapuceras, (incluso recordemos que en tiempos de Sun, Solaris, Sparc y Java las herramientas GNU eran más fiables a fallos y ataques que las de Sun propias nacidas de BSD 4.3), es que se va a mear frente a lo que se intente crear aquí sin CPU's, ni protocolos casi propios, ni tecnología propia como RISCV, ni GCC, ni Clang, ni Rust, ni compiladores libres de ADA ni NADA como FFMpeg, ImageMagick, CURL, Opus.. que se le acerque a tecnologías libres que controlan MEDIO MUNDO.
Las tecnologías libres están desde móviles, a teléfonos, coches, microondas, videoconsolas y hasta equipos médicos.
Es que nos vamos a tomar por culo.
Esto es parte de la profesionalización del sector. La gente que quiere competencias para los ingenieros informáticos deberían alegrarse.
#13 Si el fallo esta en la librería base son responsables, al igual que una compañía es responsable de los problemas que de el motor asíncrono que X este usando en su proyecto. Bastante provisiones favorables se les esta dando en el caso del software libre. Un diseño mecánico libre no tiene esas provisiones. Claro que nadie en su sano juicio va contra ello
Yo estoy a favor del software libre, y la peña esta montando un dramón estúpido. El tema va mas en que si saben que hay un error son responsables, o que hay que tener implementado unos estándares de calidad dictados por la ley. Comparable a cualquier otra empresa de otros productos.
Nadie hace productos mecánicos perfectos, pero se espera que al menos se hayan seguido unos estándares de seguridad y calidad definidos por la regulación del producto. Si algo se rompe pero tu has seguido la regulación legalmente has cumplido, incluso aunque haya habido muertos y perdidas millonarias.
Lo digo como persona que trato con las leyes de productos europeo a diario durante años, esto es completamente normal, es menos drama de lo que la gente se esta haciendo y solo la gente que hace chapuzas debería estar asustada.
Los de ausencia de seguridad como ITS bajo PDP10?
Bajo qué CPU's? Intel x86/amd64? RIsc-V? Power9? ARM?
Venga, ilústranos.
Si hasta en OpenBSD se encontró un fallo en el kernel reproducible para generar un kernel panic. Qué sugieres, que la industria por entero colapse? Adelante.
Hacemos criba de todo código BSD o GPL no reglado según tú. Adelante. Todas las pilas TCP/IP a tomar por culo. Idem con compiladores, librerías, IDE's y soporte multimedia. Hala, cojonudísima idea.
Volvamos a la TV PAL, que eso funcionaba más o menos bien y poco digital había ahí. Y a AX.25, con Ibertex. Me iba a reir yo vuestras ideas de bombero.
Cosa diferente es si yo vendo ese módulo. Entonces habrá un contrato entre vuestra empresa y yo, y yo daré una serie de garantías. Y si no quiero dar dichas garantías, vosotros sencillamente no me compráis y buscaréis otro módulo que sí os lo ofrezca.
Pero eso de "no, no... yo cojo este módulo aquí en Pypi de gratis, lo uso en mi software por el que cobro miles de euros sin revisarlo ni nada, y si hay algún problema por culpa de él, que demanden al autor, que yo no tengo responsabilidad ninguna", pues como que ni-de-co-ña.
Hay una parte de estándares EN, los llamados estándares harmonizados que el simple hecho de cumplirlos presupone que cumples la ley. Aunque en ciertos casos, ademas de usar dichos estándares tu producto debe ser revisado por un tercero , que es el ¿cuerpo notificado? (notified body, yo he trabajado siempre en ingles estos temas) y hacerle ciertas comprobaciones de calidad, ya sea al producto final, el proceso de fabricación (entiendo que en este caso sera el código o las practicas de diseño y programación) o ambas. En caso de que no quieras usar dichos estándares puedes pagar para que te hagan un estudio de que cumples la regulación sin ellos, creo que tiene que ser un cuerpo notificado, pero como nunca trate con esta opción no estoy seguro.
Juraría que eres de bilbo, un ejemplo similar, el BEC no cumple con los estándares antiincendios que requieres de una seguridad pasiva, y activa. En lugar de pagar por toda la seguridad activa, aspersores y tal, pagaron un estudio que demostró que con los elementos pasivos cumplían con la ley, aunque no cumplían con el estandard (el eurocodigo si no recuerdo mal)
Las regulaciones europeas funcionan así desde 1985, las anteriores, como la de automóviles todo tiene que ser revisado, y esas si son un infierno burocrático.
Si alguien quiere curiosear un ejemplo de los que controlo, este es la pagina informativa de la directiva de maquinaria single-market-economy.ec.europa.eu/single-market/european-standards/ha que esta bajo el paraguas de la de productos como estas nuevas para IT
Para estas regulaciones se harán paginas y guías similares, ademas de las listas de estándares harmonizados y cuerpos notificados.
Es mucho mucho mas simple de lo que parece, al fin y al cabo es común en toda la industria. Lo excepcional era el caso de IT
#73 la ley va a proteger el software libre desarrollado altruisticamente. La duda es las fundaciones y demás con gente en nomina, ya que no cubrirlas haría que las compañías simplemente tuviesen una fundación que desarrollase su producto, mientras que la matriz lo vende "integrado" y solo haciendose responsable de la parte superficial.
"Y si no quiero dar dichas garantías," La ley no permite no dar garantías, tu puedes poner misa en el contrato que hagas, lo que conseguirás es que esas clausulas sean nulas, que no están por encima de la ley. Igual que en todos los demás productos
1 - El BEC no es de BIlbo, es de Barakaldo.
2 - El software no es predecible como el hardware. Lo que funciona en x86 o amd64 puede irse al cuerno con RISC-V. Ya ha pasado con cosas como WebKIt donde hicieron falta bastantes parches.
3 - Ni siquiera el hardware lo es; ya en la época del 6502 había instrucciones no obvias o impredecibles.
4 - Todo eso que dices es impracticable, la claúsula no es nula. Si no respetas la GPL, no respetas la propiedad intelectual. Te puede caer una demanda muy superior por ello. Hablo de millones en multas por daños a autores perjudicados. Como digo la UE puede decir misa, que si atenta a derechos de Copyright, la UE va a quedar esquilmada de las paladas de dinero que va a tener que pagar por daños y perjuicios a medio mundo de programadores.
Tendría que ser algo muy simple, una triste CPU de 4 bits de las calculadoras esas del Casio o del Tetris de los chinos de esos del Brick Game con la típica hendidura en el medio.
El resto es engañarse.
2- No tienes ni idea de lo impredecible que puede ser la maquinaria. O los humanos usandola. Y esta regulada sin mayor problema
3- idem
4- No estas entendiendo nada. La gpl no esta por encima de la ley, ya esta. No estas infringiendo la propiedad intelectual, los propietarios siguen siéndolo y todo lo demás es aplicable. La tontería de que se distribuía sin garantías, los puntos 15 y 16, no es que quede invalidado ahora, lleva mucho tiempo ya sin jurisprudencia en la UE. De hecho el punto 17 va en la linea de la ley, ya recoge la posibilidad de que el 15 y 16 no sean aplicables, y hace una distinción en caso de que se pague por el software.
Otra cosa es que no se pusiera en practica hasta ahora, entre otras cosas por que ninguna regulación cubría el software. Con la nueva regulación de productos (general product safety regulation, GPSR para los que la usamos) el software pasa legalmente a ser un producto, por lo cual al empezar a legislarse esa jurisprudencia tiene que ir a la ley, que en la UE rige el derecho romano.
#77 "es que es imposible garantizar una operabilidad completa estandarizable como tú dices."
Eso no lo he mencionado en ningún momento, te estas ofuscando en lo que tu entiendes por un estándar, que es un tipo de estándar muy concreto que no tiene nada que ver con lo que es un estándar harmonizado que es para que me entiendas, un conjunto de practicas seguras y de calidad que garantiza que se cumpla tal ley.
Las leyes europeas desde el 85 son muy genéricas en sus funciones, y los detalles de como tienen que garantizar esa calidad y seguridad están en los estándares harmonizados. Referencia sesei.eu/european-standardization/new-approach-legislation/
La GDPR opera sobre un servicio en sí y sus datos a tratar, no sobre el código, cosa que es más onírica que realista.
Tratar los datos en un standard es infinitamente más sencilo que hacerlo sobre una implementación para leerlos. En el propio protocolo Gémini, algo megasimple que hace que cualquier estándar RFC de más de tres cifras sea un tocho intragable, tienes desde clientes y servidores simples con pocas líneas en Bash a monstruos en C+SDL y GTK+Rust.
Y ni aún así vas a garantizar que la cosa no se salga de madre por algún fallo en GlibC (la de GNU, la Musl o BSD olvídate de que no salga algo impredecible, o viceversa), en SDL2 o en la propia capa de terminal.
Tu hablas como Don Quijote, yo te hablo como Sancho Panza.
En software... pues he jugado a juegos de aventuras de máquina Z ( de esos de texto recorriendo cuevas y tal) en un intérprete creado en GhostScript usando el lenguaje PostScript, que se diseño para crear líneas, figuras e imprimir texto de forma profesional en los 80. Un lenguaje para imprentas que lo van a leer las impresoras, vamos, y que el software de PC en teoría replica solo la vista de impresora en un documento cualquiera.
Pues como las leyes de Turing no entienden de regulaciones, el juego "calypso.z3" tiraba igual de bien con el intérprete creado en PostScript que un microodenador de los 80 cualquiera, de los de la era del Spectrum, con el intérprete de la compañía de Infocom. Y quien dice un juego de texto, te dice un Tetris.
Estás seguro que quieres regular el softaware como el hardware? Igual en el año 4000 cuando consigamos energía de las estrellas cercanas como quien te la consigue de molinos o de placas solares.
Y sigues hablando de estándares técnicos que no tienen nada que ver con los harmonizados que van en las leyes.
El que eres don quijote eres tu, que te estas montando historias en la cabeza. Al igual que el sector TIC. Veis gigantes en las regulaciones cuando el resto de la industria solo ve los molinos de siempre.
Regular no implica que este 100% predecible y que nunca falle. Nadie espera eso. Implica que haya contenciones para cuando algo falle y que haya un mínimo de calidad y de garantías al consumidor. Si cumpliendo las previsiones legales, falla, estas cubierto por la ley
El software ya esta regulado en la aviación y en la industria nuclear, por poner dos ejemplos. No directamente como producto, sino los aparatos y servicios en los que va. Y funciona, no hay que esperar a dentro de 2000 años como dices.
¿Quien dice que yo quiera regular nada? Estoy exponiendo lo que ya se esta en proceso de legislar, y que el resto de productos ya hace.
Esto lo escribí yo en ensamblador en ARM por un reto y lo hice
#215 tranki 21/10/2019 22:30 *
Voy a seguir escribiendo cual ChatGPT (y mejor) ¡Ala!
código:
pastebin.com/ewv1zPsb
ensamblar con:
as -o main.o main.s
luego enlazar con;
gcc -o main main.o
¿En serio me estas hablando de crackers que por definición son ilegales?
Ah y soy ing mecánico
Ya le he dicho que con un triste software de representación de ficheros para imprimir, un intérprete PostScript, he podido usar otro creado en ese lenguaje para jugar a videoaventuras de texto. Eso por lo principal.
Los tarados informáticos (hackers, que no crackers) le han creado un Pong del juego de Pokémon de la Game Boy manipulando los datos del juego aprovechando bugs y escribiendo bits en la memoria de la consola.
Si eso se puede hacer una CPU de los 80 cuya simplifidad cabe en dos caras de un din A4 en cuanto a instrucciones disponibles, imagine dar garantias de caliad y seguridad al software de HOY. Si con SEL4 la cosa ya cuesta (que es el nucleo del sistema operativo, lo que arranca el PC y gracias), ahora ponga UD a verifiicar drivers, librerías del sistema y navegadores web encima de SEL4 a ver cual es el comportamiento esperado.
El sistema operativo puede seguir imbatible, no lo niego, resistiendo caídas y cuelgues como un campeón, pero sus datos quizá no tanto.
Ahora bien, imagine eso pero explotando fallos y vulnerabilidades en todo tipo de software moderno. No va a acabar UD. Si no se rompe por un lado, se rompe por otro.
O cuando no, enviando los datos de forma ilegal por ultrasonidos (se puede) o por la propia radiación del monitor enviando en AM para que lo capte una emisora, como hace el proyecto Tempest:
www.erikyyy.de/tempest/
De hecho hay gente que ha leído discos duros ajenos leyendo el bus de la placa mediante receptores electromagnéticos. Ahora va UD y me mete el PC en un jaula de Faraday en cada oficina.
De hecho los propios militares usaban tecnología de GNU encima de sus Unix Sparc para hacer simulaciones de radiación en instalaciones y objetos. Y otro usaba GNU EMacs para operar cosas en control aéreo. Emacs aparte de un editor es un intérprete de lenguaje LISP, el cual crearon muchísimas cosas encima de este. No exagero, fué a inicios de los 90.
El propio Amazon usó Emacs para tratar pedidos con menús automatizados en Emacs.
El equivalente de cogerse un OVNI montado por hippies de forma altruísta para acabar en Marte a velocidad hiperlumínica. Pero claro, si mejoras el OVNI estás obligado de forma legal a compartir los planos con los hippies, que están ahora con experimentos hiperdimensionales.
Segundo. No estas entendiendo de que hablo, sigues hablando de niveles de seguridad extremos, ves todo en blanco y negro y yo (y la ley) hablo de grises, así que doy por finalizado la conversación.
Y no se por que me hablas de usted
Igual el que no entiende una puta mierda sobre lo que puede hacer el software es UD; a no ser que la UE apueste por Genode y haga un cambio en el 90% de la industria, ésta se va a tomar por culo. Porque las leyes son para todos, no para microcontroladores antes PIC hoy ESP32.
El software por interactuar, interactua hasta el propio universo con los rayos cósmicos. Y ya puedes tener memoria ECC, sistemas de ficheros con verificación como ZFS y 2000 protocolos de seguridad que siempre va haber una manera de romper todo eso.
El sistema OpenVMS también tuvo fama de inexpugnable en los 80 y también acabó roto. Lo mismo con Multics bajo Borroughs, antecesor de Unix, que decían que todo software compilado contra éste era seguro y a prueba de bombas, mucho más que un Linux, OpenBSD o cualquiera de hoy (técnicamente lo era) y al final acabarón rompiéndolo para escribir donde el autor del hacker quiso.
es.m.wikipedia.org/wiki/Multics
Pero en informática debe de pensar UD como si lo que tuviera delante son seres de la cuarta dimensión donde con un poco de suerte pueden saltarse cualquier ley física existente hasta hacer cosas incomprensibles para nuestro universo.
Se ha intentando con SEL4 y eso va a evitar que el PC se cuelgue, no el que sus datos se mantengan seguros y confiables. Para eso sacaron pledge y unveil en OpenBSD y creo que cifrando el disco y metiendo la placa bajo unos CMs de plomo o en una rejilla de 1m^3 quizá se consiga una fiabilidad para dichos estándares. Eso para confindencialidad, para seguridad en ejecución que no se salten los baremos no queda nada todavía...
Rust y ADA se acercan, lo mismo que un subestándar de C para misiones críticas, pero eso no le va a garantizar privacidad o confidencialidad en datos, solo su correcto manejo de estos.
Tampoco le va a proteger frente a cuelgues. Ni frente a errores en el propio Rust:
www.kxxt.dev/blog/safe-rust-code-that-segfaults/
Se puede asegurar de que no manche el suelo, y de que monte una obra coherente, pero puede surgir algo inesperado en cualquier momento que lo tire al traste. Puede hacerlo forzando su brazo, dejando que beba, cerrando puertas, dándole estimulantes... pero tardará 24 meses más de lo esperado.
Y eso tal como estaban los ordenadores antes. Ahora los ordenadores tienen una CPU en cada dispositivo y estos mediante IOMMU pueden acceder a la memoria principal y escribir en el sistema operativo. Como controlar 5 Dalis en paralelo cada uno con su propia droga distinta y que no se desmadre, eso es la informática moderna.
En vez de un cuadro tendrá un mural, mucho más rápido que usando un solo pintor, pero va a pasarlo mucho peor para contenter a todos sin que le acabe bajando el rendimiento de pintado del mural de forma alarmante.
Ahora veo que parece que no patentó exactamente el doble click... Aun así la patente es discutible.
Leído aquí:
www.error500.net/p/la-patente-del-doble-click-de-microsoft