La propuesta de ley de resiliencia cibernética de la UE podría tener consecuencias adversas en Python
Deb Nicholson, directora ejecutiva de Python Software Foundation dio a conocer que la propuesta Ley de Resiliencia Cibernética (CRA) de la UE lanzada el año pasado, puede causar problemas que ponen en peligro la misión de la organización y la reputación de la comunidad de software libre.
La propuesta es necesaria para aumentar el nivel de confianza de los usuarios y el atractivo de los productos de la UE que contienen elementos digitales al tiempo que brindan seguridad jurídica.
Para quienes desconocen de la Python Software Foundation (PSF) deben saber que es una organización benéfica sin fines de lucro cuyo objetivo es promover, proteger y promover el lenguaje de programación Python. Python Software Foundation facilita discusiones técnicas para el ecosistema en general y apoya muchas oportunidades educativas para la comunidad global de desarrolladores de Python.
La Python Software Foundation expresa su preocupación sobre algunas formulaciones de la política propuesta actualmente ya que «no es lo suficientemente clara para un ecosistema como el de Python». Tal como está redactado actualmente, la Free Software Foundation podría ser financieramente responsable de cualquier producto que incluya código Python, aunque nunca ha recibido ganancias monetarias de ninguno de estos productos.
“El riesgo de enormes costos potenciales en la práctica nos impediría continuar suministrando Python y PyPI al público europeo. »
Deb Nicholson menciona que «ciertamente, todos quieren seguridad, que los consumidores tengan garantías razonables y que la industria del software sea responsable ante sus clientes». Sin embargo, es esencial que estas garantías se esperen de la entidad correcta y que la carga legal de cualquier falta de informe recaiga sobre la entidad correcta.
Muchas piezas de software que terminan en productos comerciales de software o hardware provienen de repositorios de software gratuitos disponibles públicamente, como PyPI, donde no se paga ninguna compensación. No se debe agradecer a los lenguajes y repositorios de código abierto los servicios públicos que brindan de forma gratuita con el riesgo continuo de acciones legales ruinosas y costosas. FSP no debe ser responsable de cada aplicación o dispositivo que contenga código Python.
Según el PSF, asignar la responsabilidad a cada desarrollador ascendente reduciría la seguridad, no la aumentaría. Dejar a los desarrolladores individuales y/o con recursos insuficientes en una posición legalmente poco clara al contribuir a repositorios públicos como Python Package Index seguramente tendría un efecto negativo en ellos.
Solo las entidades que vendan suficiente software o combinaciones de software/hardware para asumir la responsabilidad del producto podrían continuar operando abiertamente. Las mejoras para el usuario y los beneficios de seguridad compartidos de la colaboración global de software solo estarían disponibles para los desarrolladores que trabajan en nombre de unas pocas empresas grandes.
Por otra parte, tambien se menciona que el crecimiento y la innovación serían reprimidos, ya que la seguridad de los lenguajes como Python depende de la disponibilidad continua de una entidad neutral y no comercial que pueda servir como centro de intercambio de información sobre software nuevo, mejoras y correcciones de errores que la comunidad de software en general pueda compartir libremente.
“Los miembros de PSF y los usuarios de Python en Europa pueden escribir a su eurodiputado para plantear inquietudes sobre el proyecto de ley de resiliencia cibernética de la UE antes del 26 de abril, ya que aún se están considerando enmiendas para proteger los repositorios públicos de software libre.
Es posible designar un representante autorizado: de hecho, como fabricante, se puede designar un representante externo que pueda relevarlo de la gestión de la declaración UE de conformidad y con fines de vigilancia del mercado.
Finalmente, no es demasiado pronto para comenzar a planificar en consecuencia, adaptar su estrategia de producto digital y elegir los socios especialistas adecuados para no perder la oportunidad de acceder al mercado único de la UE.
Por otra parte, se menciona que si bien ley de resiliencia cibernética respalda los objetivos declarados de las políticas de aumentar la seguridad y la responsabilidad de los consumidores de software europeos, la Python Software Foundation dice que le preocupa que las políticas que son demasiado amplias puedan dañar involuntariamente a los usuarios que deben proteger.
“Creemos que es importante tener en cuenta el papel que desempeñan las organizaciones sin fines de lucro independientes del proveedor, especialmente los repositorios de software públicos, en el desarrollo de software moderno.
Muchos editores de software modernos confían en el software de código abierto de repositorios públicos sin notificar al autor y, desde luego, sin entablar ninguna relación comercial o contractual con él. Si la ley propuesta se aplica tal como está redactada actualmente, los autores podrían ser legal y financieramente responsables de cómo se aplican sus componentes en el producto comercial de un tercero.
Según la Python Software Foundation, el texto actual no hace ninguna diferencia entre los autores independientes a los que nunca se les ha pagado por proporcionar software y los gigantes tecnológicos que venden productos a cambio de pagos de los usuarios finales.
“Creemos que la mayor responsabilidad debe asignarse cuidadosamente a la entidad que ha celebrado un acuerdo con el consumidor. Nos unimos a nuestros colegas europeos en la Fundación Eclipse y NLnet Labs para expresar nuestras preocupaciones sobre cómo estas políticas podrían afectar los proyectos globales de código abierto. “
Hacemos muchas otras cosas al servicio de nuestra misión caritativa”, pero hay dos actividades que podrían verse afectadas por Python Software Foundation:
“Nadie nos paga por el software, ya sea por el idioma base o por los paquetes que puede descargar del repositorio que mantenemos. A primera vista, esto podría sugerir que no se puede ganar dinero con Python o los paquetes de Python. De hecho, lo contrario es cierto”, dice Python Software Foundation.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.