Предложение по перекладыванию ответственности за ошибки в открытом коде
IBM предлагает новую роль бизнесу в поддержке качества открытого ПО. Джеймс Боттомли из IBM Research, который отвечает за развитие подсистем SCSI и PA-RISC в ядре Linux, а также ранее руководил техническим комитетом Linux Foundation, предложил интересное решение для проблемы, связанной с возможной юридической ответственностью разработчиков открытого программного обеспечения за ошибки в коде или ненадлежащее устранение уязвимостей. Суть идеи заключается в переносе юридической ответственности за ошибки в исходном коде с самих разработчиков открытых проектов на компании, использующие этот код в коммерческих продуктах. Другими словами, ответственность за проблемы, возникшие из-за использования кода, несет тот, кто получает прибыль от этого кода. Например, если компания включает сторонний открытый код в свой продукт, и ошибка/уязвимость в этом коде приводит к ущербу пользователям, то отвечать в такой ситуации и возмещать ущерб должен производитель переданного пользователю коммерческого программного продукта, а не разработчик открытой библиотеки. Перекладывание ответственности предлагается реализовать через прикрепление к лицензии пункта, указывающего на согласие возмещать убытки и защищать участников разработки от любых юридических претензий в случае полного или частичного использования предоставляемого под данной лицензией исходного кода в качестве компонента или продукта в юрисдикциях, накладывающих дополнительные обязательства по сопровождению программных продуктов. На данный момент в большинстве лицензий достаточно предупреждения "AS IS", в котором говорится, что разработчики не несут ответственности за ошибки, не дают никаких гарантий на работоспособность кода и не принимаю обязательств по решению проблем, а потребитель соглашается использовать код на свой страх и риск. Отсутствие гарантий от разработчиков способствовало развитию бизнес-моделей на основе платной технической поддержки. Изменилось и восприятие ответственности за проблемы в открытом коде - вместо защиты отдельных разработчиков, пункт об отсутствии обязательств стал восприниматься как возможность ухода от ответственности крупных компаний, создающих открытые продукты. Ситуация с отказом от юридической ответственности может измениться с принятием законопроекта Cyber Resilience Act в Евросоюзе, который предусматривает определенные обязательства для производителей программного обеспечения, должным образом не заботящихся о безопасности и оперативно не устраняющих уязвимости на протяжении жизненного цикла продукт. Иск был подан против разработчиков кода, а не против операторов сети Bitcoin. Первая инстанция отклонила иск, ссылаясь на пункт в лицензии об отказе от ответственности, однако разбирательство продолжается в апелляционном суде, который, вероятно, также отклонит иск по другим причинам.SecurityLab.ru
Эта новость в СМИ