La Unión Europea tiene sobre la mesa el borrador de una inminente 'Ley de Resiliencia Cibernética', con la que busca reforzar sus defensas contra ciberataques. Un objetivo con el que está de acuerdo organizaciones como la Linux Foundation o la 'Electronic Frontier Foundation' (EFF)… ambas, sin embargo, se han posicionado en contra del borrador por las graves repercusiones que puede tener sobre el desarrollo de software libre.
|
etiquetas: unión europea , ley de resiliencia cibernética , software libre
Ni Ellos ni sus asesores.
A eso me refiero.
Una ley disparate que de aprobarse pondría en riesgo la computación y transparencia en Europa, incluso en países que tratan de huir del software privativo como ha sucedido en regiones de Alemania o incluso Francia.
www.muycomputer.com/2021/11/22/codigo-abierto-region-alemana/
mancomun.gal/es/francia-reconoce-el-software-libre-en-su-plan-nacional
En la última fuente se lee:
"El Plan Nacional pretende que el código fuente y los programas informáticos producidos en el marco de la investigación pública francesa se desarrollen, mantengan, conserven y atesoren."
Mis dudas serían entonces: ¿pagarán los Estados el software que le parece a cada uno oportuno para mantenerlo libre de vulnerabilidades? ¿Habrá financiación para que se mantenga el resto del software? Si lo pagan es evidente que el software de fuente abierta saldría beneficiado, ¿pero y el libre? ¿Qué ocurre con la presión del desarrollador? Si esto no se considera, nos acabaríamos limitando a compañías tipo Red Hat (IBM) y poco más, que colaboran en la producción de software libre pero no son las únicas, y las de software privativo que "apoyen" (como Microsoft) quizá dejen de hacerlo.
Ya lo dice el artículo, en el software libre existe voluntariedad. Esta presión podría matar proyectos super interesantes y muy bien logrados, todo en favor de quien tiene la pasta para hacer frente, al capitalismo.
El software libre da beneficios no a una, sino a TODAS las empresas de software del planeta.
Los entendidos recordamos cosas como Heartbleed con openSSL, y como sacudió la industria para que todo dios parchease la vulnerabilidad, porque resulta que todos los sistemas operativos basados en linux y muchísimos softwares privativos usaban openssl por debajo, y resulta que openssl estaba desarollado por un puñado de personas en su tiempo libre sin remuneración con ayuda de colaboradores voluntarios.
No creo que a día de hoy exista apenas software privativo complejo que no use alguna librería open source por debajo en algún punto del código.
No hay muchas referencias en el mundo real, pero pongamos una metafora para que se entienda.
Es como si hubiera un grupo de voluntarios que se dedicara a construir caminos por el monte, señalizarlos, despejarlos de obstaculos, etc... Los caminos no se mercantilizan, PERO, los agricultores que esten por la zona se van a beneficiar muchisimo de ellos y su productividad aumenta.
Esto es algo parecido, incluso aunque haya software libre que nose mercantilize, si que hay un monton de empresas que se aprovechan de estas mejoras de productividad.
Pero cuando en una institución, todos sus integrantes actúan de modo coordinado y conjunto para un objetivo específico, no está de más considerar que no tienen una "hoja de ruta" específica, comandada, posiblemente, por algún tipo de "grupo económico" que igual está interesado en destacar.
Documentos como este, ec.europa.eu/commission/presscorner/detail/en/ip_22_5374 tienen detrás grupos de trabajo bastante potentes, usualmente.
Asumir que los que realizan estos trabajos son "estúpidos", es dejar aflorar en cierto modo, cierta "candidez" o inocencia.
Lo que digo en #1 y en #4 (obviamente basado en asunciones, no lo voy a negar), al menos te pone en guardia de inicio, ante jugadas que igual ya estén planeadas.
No se debe subestimar al enemigo, nunca. Ahí es cuando te derrotan.
Y si de verdad son estúpidos, eso se descubrirá antes de lo que uno espera. Pero me da que no, que aquí el principio de Hanlon, sobre todo por la documentación que utilizan y los esfuerzos que están poniendo para llegar a su objetivo, es precisamente para evitar por su parte movimientos "estúpidos" y consecuencias "inesperadas".
Yo no soy muy amigo de las conspiraciones en ese sentido. Aparte, que las grandes empresas son las primeras que usan software libre, que cojones.
La IA no es el problema
Deberían atacar por ahí
Anda que no se ha beneficiado Google de Android. Y eso que está basado en Linux que es software libre...
Y cuando digo todas, me da igual el tamaño, desde Google hasta una startup de tu barrio.
Desde que estoy aquí hay una cada año. Nunca ocurre nada, claro.
Pero cuando lo tienen todo "atado y bien atado" y no atienden a los profesionales, a los que saben, a los especialistas, eso es que la hoja de ruta está bien planificada.
En relación a la Ley del solo si, en ningún momento pensé que fuera un movimiento inteligente, al igual que tampoco creo que hubiera maldad en su creación.
Simplemente fue un error de bulto que demuestra la ineptitud de los políticos que tenemos calentando 350 sillas a precios de esperma de unicornio el minuto.
Tan estúpido como fue la manera de tener aprobada la actual modificación de la reforma laboral del 2012.
En ese Congreso, sólo comandan estúpidos, alineados y coordinados en contra del ciudadano.
Pero esto es distinto. La UE crea leyes que va en contra del propio beneficio de aquellos a los que representa, y sin preocuparse. Eso es porque ya tienen el tema planeado.
Y si no estoy en lo cierto, lo veremos también pronto. Y lo veremos cuando hagan caso a los profesionales que cuestionan estas leyes. Que como digo, me da que no va suceder.
Y si eso lo entiendes en el congreso. En la UE es mucho peor, a la UE van los politicos que no quieren en su casa. Asi que peor me lo pones incluso.
La ley no es mala. Posiblemente se deba definir mejor el concepto de ánimo de lucro, dejando sobre fuego a qué se refieren, para evitar reinterpretaciones torticeras fuera de lo que me consta es el ánimo del legislador.
El principio es muy sencillo: Si haces dinero con un software, debes encargarte de su seguridad. Básicamente tener un canal para que te notifiquen (issues del git?) e ir parcheando los agujeros entre otras cosas de sentido común que muchos ya hacen.
Acotar el qué es recibir contraprestación es aquí la clave. ¿Las donaciones?¿publicidad?. Pero si tu eres Microsoft, haces miles de millones con el software libre, pues arrima el hombro e invierte en seguridad. ¿Eres una consultora que está re-empaquetando software libre? pues tu eres quien responde de su seguridad. ¿Has instalado/distribuido Debian? Estás de suerte, hay un equipo de seguridad descomunal detrás, pero sigue siendo TU problema, no el suyo.
Si alguien está interesado, hay una charla del FOSDEM de éste año que os recomiendo y en la que participaba la propia comisión europea. Para mi sorpresa llenó hasta la bandera el auditorio Janson!. Los vídeos deberían estar aún disponibles: fosdem.org/2023/schedule/event/cyber_resilience/
Comentaros que de ahí los que realmente estaban preocupados eran los de "Digital Europe" un lobby: www.digitaleurope.org/corporate/
Cuando me toca explicárselo a alguien (además de programar soy miembro de la fundación Apache), suelo decir que el software libre es, en la mayoría de los productos que consumimos, como los ladrillos de una casa: la casa tiene una funcionalidad y un valor, pero sin ladrillos, no es más que una idea.
Estas leyes provienen de compromisos más generales, como puede ser aquí el promulgado por la misma von der Leyen state-of-the-union.ec.europa.eu/state-union-2021_en , y directamente difundidos por campañas promocionales del estilo digital-strategy.ec.europa.eu/en/policies/cybersecurity-strategy que cuestan porrada de millones.
Como digo, todas estas "campañas", anuncios, cumbres, dedicación, por norma general sirven para aumentar la "fiscalidad" sobre productos ya existentes, en nombre de un "bien mayor", como en este caso la ciberseguridad. Y descartar de buenas a primeras segundas intencionalidades, no es recomendable.
El mismo artículo destaca las dos opciones que estamos planteando aquí (yo apuesto en #1 por la segunda opción)
"En resumen, o estamos ante un caso de absoluto desconocimiento producto de un cierto analfabetismo digital… o sencillamente ante un sesgo pro-privativo que busca expulsar del mercado a los proyectos open source, hoy en día fundamentales en todos los ámbitos del software."
Si rectifican y hacen caso a los expertos (que a simple vista ya observan obvios "gaps")
""Escribimos para expresar nuestra preocupación por el hecho de que gran parte de la comunidad de código abierto haya estado subrepresentada durante el desarrollo de la Ley de Resiliencia Cibernética"
... significará que todo este tiempo han actuado de modo estúpido, y se descartará otras "intenciones".
El tema está en que un tercero enlate tu software y lo venda por un dinero. ¿Quien crees debe hacerse responsable?
Veo muchos hablando de la Cyber Resilience Act, pero personalmente me parece mucho mas interesante y trascendente el cambio que supone la Product Liability Directive (PLD) incluyendo los productos digitales en las leyes de consumo: www.europarl.europa.eu/RegData/etudes/BRIE/2023/739341/EPRS_BRI(2023)7
Por si queréis ver la Cyber Resilience Act sin que os cuenten películas: digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
Cuando indican "garantizar que usuarios lo utilizan de forma segura" lo que yo entiendo es que el proveedor debe de proporcionar los medios (guías, soporte, actualizaciones) para que los usuarios, a través de sus acciones (instalación u operación) no se pongan en peligro. Es decir que tienen todas las herramientas para instalarlo, configurarlo y operarlo de forma segura.
Creo que la ley va por ahí y que el software libre sí puede cumplir esto.
Van a obligar a los fabricantes de móviles a parchear los sistemas de por vida?
El dicho "Nunca atribuyas a la maldad lo que se explica adecuadamente por la estupidez", en el caso de políticos y de fuertes intereses económicos sería al revés, "No atribuyas a la estupidez/ignorancia lo que puedas explicar por la maldad".
Menudos tochacos para no poder sacar conclusiones claras....
Pero si obligan a los fabricantes de dispositivos a mantener seguro su firmware o mejor aún, proporcionar o no impedir los medios para que el propietario los pueda solucionar no estaría mal.
No he visto donde caen en la ley los colaboradores o creadores de SL... En principio no veo que les afecte.
Pero he leído el primer PDF en diagonal a toda pastilla...
Saludos.
Por tanto, puede ser intencionado, pero sólo puede ser intencionado desde la incomprensión.
Y si no es intencionado, es incomprensión también. Lo único seguro es la icomprensión.
Pero eso es cosa del administrador del "lado del usuario", no del desarrollador.
Garantizas que no puede ser mal usado tal y como lo publicas. No te haces responsable de las modificaciones realizadas por otros.
Aunque sí, mal intencionado lo parece.
Pero hay una solucion, subir el codigo siendo anonimo, fin del problema. Si hay multa de (minimo) 1 millon por un bug, dices que te has/han suicidado cuando solo querias ayudar a la gente a desarrollar 1 herramienta y enseñar informatica y que carguen con el.muerto los politicos mafiosos
O pillar una vpn y decir q eres de usa
Acordaros con el Log4J. Los tios se tiraron todo el fin de semana, pero dijeron que bueno, que a lo mejor eso no lo pueden hacer siempre. En mi empresa, que ya no trabajo para ellos y lo puedo contar, lo que propuse era hacer un branch de prisa y corriendo y parcharlo nosotros o los bancos se nos iban a echar encima. Los bancos les apretaron las tuercas a mi empresa, pero no hicimos un branch porque el lunes habia un parche.
Si esos tios hubieran dicho: estoy de vacaciones o tengo una partida muy interesante en el Civilization, o tengo una maraton de porno que hacerme este finde... se hubiera montado una gordisima. Lo que quieren es que eso no pase, que los abogados te puedan llamar y amenazarte si no te pones a parchear ese codigo.
Por cierto, supongo que el "disclsimer" que aceptamos en casi todo el software pasará a ser ilegal...