Luca Alzetta ha scritto:
> Davide Prina ha scritto:
>> Qui[¹] è presente una breve presentazione del Cyber Resilience Act (CRA),
>> una nuova legislazione europea che stabilisce nuove regole di sicurezza
>> per software/hardware più disparato.
> Fine di internet.
no.
Penso che l'idea di fondo cerchi di migliorare l'hardware e il software, ma
la legislazione proposta probabilmente peggiorerà le cose (tieni presente
che non ho letto il draft, mi sono basato solo su una sintesi che ho letto e
sul filmato che ho indicato nella mail precedente).
Da un lato è assurdo che i bug hardware che sono stati trovati ormai da un
bel po' di tempo non vengano corretti: non venga creato nuovo hardware
privo di tali bug di sicurezza. Da quel che so io, almeno l'ultima volta che
avevo indagato, si stava soltanto pensando come poter arrivare ad avere
un hardware senza questi problemi di sicurezza... mentre attualmetne
vengono forniti, per alcuni hardware solo delle mitigazioni che devono
essere presenti sia nel firmware, ma anche a livello software (kernel,
compilatori, applicativi)... mitigazioni che rendono più complesso sfruttare
il bug, ma, essendo mitigazioni, non lo eliminano.
Però prima di tutto è difficile indicare cosa è un bug e se è effettivamente
presente. Di solito i bug sono trovati e segnalati da persone/società diverse
da chi produce il sw/hw. Però ho visto diversi casi in cui il produttore indicava
che il bug indicato non era applicabile. Ad esempio mi ricordo che per un
software libero chi lo produceva indicava che il bug di sicurezza aperto sul
loro software non era applicabile, perché loro non lo avevano creato per
essere usato con quelle modalità, ma doveva essere chi si occupava del
"livello superiore" di proteggere quella parte. (scusate se sono un po' vago
ma non mi ricordo il caso, se non in termini generici che ho esposto).
Poi anche obbligare in qualche modo a rispettare quanto richiesto può
essere molto difficile. Ad esempio un governo europeo (mi sembra olandese)
ha collaborato con m$ per circa 2 anni per far sì che i suoi prodotti in
cloud, teams, ... per far sì che rispettassero il GDPR, ma non essendoci
riuscita ha lasciato perdere e ora c'è la commissione europea che sta (o stava)
istituiendo un gruppo di lavoro per portare avanti le trattative.
Tale governo ha dichiarato che tali prodotti m$ usati in Europa sono illegali
perché non rispettano il GDPR... ma non si è in grado di far arrivare ad avere
tale rispetto e, da quel che ho capito io, non c'è neppure la volontà di dichiarare
che non possono essere utilizzati (basta vedere facebook che per lo stesso
motivo ha più volte minacciato l'UE di non fornire più i suoi prodotti nel
mercato unico perché non vuole rispettare il GDPR).
Quello che bisogna fare è capire una soluzione ottimale che permette al
software libero di prosperare come ora e convincere i legislatori europei a
modificare il draft della legge. Lo stesso anche per il software non libero,
per evitare che solo chi ha dietro grossi finanziamenti riesca ad arrivare
sul mercato... anche se questo argomento è off topic rispetto a Debian.
Da quello che ho potuto capire Debian sarebbe trattata come "software
commerciale" e dovrebbe seguire quanto previsto da questa legge (se
approvata così com'è). Come conseguenza, secondo me, potrebbe esserci
nell'immediato la drastica diminuzione dei pacchetti presenti nei repository
ufficiali.
Per rispondere all'altra mail, gli esempi che ho riportato sono alcuni di quelli
che sono stati indicati nel video dai rappresentanti dei legislatori europei e
dalle persone che sostengono il software libero che sono intervenute per
mostrarne il pericolo sul sofware libero.
Ciao
Davide
--
La mia privacy non è affar tuo
https://noyb.eu/it