Gerdab.IR | گرداب

به گزارش گرداب، مسأله زنجیره تأمین نرم‌افزاری یکی از چالش‌های کلیدی در حوزه امنیت سایبری به شمار می‌رود. نرم‌افزار‌ها از اجزای بسیاری شکل می‌گیرند که بسیاری از آن‌ها نه توسط طراحان نهایی نرم‌افزار‌ها بلکه توسط هزاران توسعه‌دهنده و برنامه‌نویس مختلف در نقاط مختلف جهان پیاده‌سازی شده است.

در حقیقت هر نرم‌افزار از چندین و چند جزءِ از پیش آماده بهره می‌برد که بخش بزرگی از آن‌ها کد‌های منبع‌باز هستند که از سوی برنامه‌نویسان به صورت رایگان برای استفاده عمومی منتشر می‌شوند. از همین رو برنامه‌ها و کتابخانه‌های منبع‌باز از مهم‌ترین اجزای زنجیره تأمین نرم‌افزار به شمار می‌روند و در حفظ و ارتقای ایمنی سایبری حائز اهمیت هستند.

قانون تاب‌آوری سایبری اتحادیه اروپا (CRA) یکی از آخرین تلاش‌های بین‌المللی برای ارتقای امنیت سایبری به شمار می‌رود. این قانون که بر حفظ و ارتقای ایمنی تجهیزات شبکه‌محور و ابزار‌های متصل به اینترنت نظیر اینترنت اشیا متمرکز است به عنوان یکی از تلاش‌های پیشرو در زمینه قانون‌گذاری توجهات بسیاری از کارشناسان را به خود جلب کرده است. این قانون که هم‌اکنون در شرف نهایی شدن قرار دارد در خود مسئولیت‌های جدیدی را متوجه توسعه‌دهندگان نرم‌افزار‌های منبع‌باز می‌کند.

پایگاه Security Intelligence در مقاله‌ای به بررسی تأثیرات قانون تاب‌آوری سایبری بر توسعه کد‌های منبع‌باز می‌پردازد.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».

با پیچیده‌تر شدن چشم‌انداز تهدیدات، ما خود را در تقاطعی می‌یابیم که قانون، فناوری و جامعه با هم همگرا می‌شوند. در چنین شرایطی تاب‌آوری سایبری بسیار مهم‌تر از همیشه است. تاب‌آوری سایبری اساساً به معنای حفظ یک وضعیت امنیتی قوی علیرغم رویداد‌های نامطلوب سایبری و توانایی پیش‌بینی، مقاومت، بازیابی و سازگاری با چنین حوادثی است.

قوانین جدید حفظ حریم خصوصی و حفاظت از داده‌ها مانند مقررات حفاظت از داده‌ها در اروپا (GDPR)، قانون HIPAA در آمریکا و قانون حریم خصوصی مصرف‌کنندگان در کالیفرنیا (CCPA) بیش از پیش ارائه می‌شوند. بااین‌حال آیا می‌دانستید که قوانین جدیدی وجود دارد که به طور خاص به تاب‌آوری سایبری می‌پردازد؟

اصلاحیه اخیر اتحادیه اروپا برای قانون تاب‌آوری سایبری (Cyber Resilience Act) موج‌هایی را در دنیای فناوری ایجاد کرده است. این قانون در سپتامبر ۲۰۲۲ پیشنهاد شد و با یک اصلاحیه بحث‌برانگیز در دسامبر ۲۰۲۳ به توافق سیاسی دست یافت. هدف این قانون تقویت امنیت سایبری در سراسر اتحادیه اروپا است، اما با تعریف مجدد ماهیت نرم‌افزار منبع‌باز (Open-source) تغییر مسیر غیرمنتظره‌ای را به وجود آورده است.

این اصلاحیه نرم‌افزار منبع‌باز را دوباره تعریف می‌کند که می‌تواند نشانگر یک تغییر پارادایمی بالقوه در نحوه توسعه، اشتراک‌گذاری و درک نرم‌افزار منبع‌باز در حوزه دیجیتال اروپا باشد.
واکنش‌های صنعت فناوری به این مسأله یک ترکیب ناخوشایند از خوش‌بینی محتاطانه و بوده بررسی‌های دقیق است. این نوع واکنش منعکس کننده پیامد‌های متنوع برای توسعه‌دهندگان منبع‌باز و اکوسیستم جامع نرم‌افزاری است.

با کاوش در لایه‌های آخرین اصلاحیه قانون تاب‌آوری سایبری می‌توانیم بر تأثیر آن بر جامعه منبع‌باز، بررسی واکنش صنعت و مسیر پیشِ روی نرم‌افزار منبع‌باز در هزارتوی این قانون تمرکز کنیم.

اصلاحیه و پیامد‌های آن

قانون تاب‌آوری سایبری اخیراً دستخوش اصلاحات قابل توجهی شده است، به ویژه در مورد تعریف و مدیریت نرم‌افزار‌های منبع‌باز. در این اصلاحیه آمده است: «نرم‌افزار رایگان و منبع‌باز به نرم‌افزاری اطلاق می‌شود که کد منبع آن به‌طور آشکار به اشتراک گذاشته می‌شود و مجوز آن همه حقوق را برای دسترسی آزادانه، قابل استفاده، قابل تغییر و توزیع مجدد آن فراهم می‌کند.»
این تعریف مجدد بحثی را در جامعه فناوری به راه انداخته است و سؤالاتی را در مورد همسویی آن با درک سنتی منبع‌باز ایجاد کرده است.
مجموعه واکنش‌های متضاد صنعت

واکنش‌های صنعت فناوری به این اصلاحیه متفاوت بوده است. از یک سو سازمان‌هایی مانند بنیاد نرم‌افزار پایتون ابراز همدلی کرده‌اند. متن نهایی قانون تاب‌آوری سایبری مفهوم همیار منبع‌باز (Open-source Steward) را معرفی می‌کند که به نظر می‌رسد ماهیت منحصر به فرد توسعه نرم‌افزار‌های منبع‌باز را تصدیق می‌کند. از سوی دیگر، هنوز نگرانی قابل توجهی در مورد پیامد‌های گسترده این تعریف مجدد و نحوه همسویی آن با واقعیت‌های توسعه منبع‌باز وجود دارد.

تأثیر بر توسعه‌دهندگان منبع‌باز

برای توسعه‌دهندگان منبع‌باز اصلاحات قانون تاب‌آوری سایبری می‌تواند به معنای حرکت در چشم‌انداز جدیدی از مسئولیت‌ها و تعاریف قانونی باشد. این عمل بخش قابل توجهی از مسئولیت‌های امنیتی را به دوش توسعه‌دهندگان نرم‌افزار منتقل می‌کند که می‌تواند برای اعضای جامعه منبع‌باز چالش‌برانگیز باشد. مفهوم «همیار منبع‌باز» در قوانین اروپا جدید بوده و پیامد‌های عملی آن هنوز در هاله‌ای از ابهام است.

سیر تغییرات مربوط به منبع‌باز در قانون تاب‌آوری سایبری

مسأله نرم‌افزار‌های منبع‌باز در نسخه‌های مختلف قانون تاب‌آوری سایبری مسیر نسبتاً پیچیده‌ای را گذرانده است. در ابتدا نگرانی در مورد مسئولیت‌های قانونی بالقوه‌ای وجود داشت که می‌توانست بر توسعه‌دهندگان منبع‌باز تحمیل شود، به ویژه از نظر مسائل امنیتی در محصولاتی که با استفاده از اجزای منبع‌باز ساخته شده‌اند.

به نظر می‌رسد متن نهایی قانون تاب‌آوری سایبری برخی از این نگرانی‌ها را با معافیت مشارکت کنندگان غیرانتفاعی منبع‌باز از برخی تعهدات مشروط بر اینکه در «فعالیت تجاری» شرکت نکنند برطرف کرده است، اما این معافیت به خصوص در مورد تعریف فعالیت تجاری ابهامات خاص خود را دارد.

گام‌های رو به جلو

آخرین اصلاحیه قانون تاب‌آوری سایبری نشان دهنده گام مهمی در شناخت ماهیت منحصر به فرد نرم‌افزار منبع‌باز در قوانین اروپا است. بااین‌حال جامعه منبع‌باز محتاط است. بازتعریف نرم‌افزار منبع‌باز در قانون تاب‌آوری سایبری و معرفی مفهوم «همیار منبع‌باز» نیاز به بررسی دقیق دارد تا اطمینان حاصل شود که آن‌ها با اهداف و کاربرد‌های توسعه منبع‌باز مطابقت دارند. هم‌زمان با روند نهایی شدن این قانون، نظرات جامعه منبع‌باز در شکل دادن به آن بسیار مهم خواهد بود.