你可能已经听说过了：欧盟正在准备其网络安全法（CRA），这是一部关于硬件和软件的欧洲法律。这个 CRA 正在向我们走来，它影响着 Joomla 和其他开源软件。

事实上，对自由和开源软件的影响可能如此之大和重要，以至于四大主要内容管理系统（Drupal、Joomla、Typo3 和 WordPress）决定联手应对此事。这一合作的第一步是在 2023 年 7 月 25 日向欧盟立法者发出了一封联合公开信，并在 2023 年 8 月 2 日举办了一次联合网络研讨会。在这场网络研讨会上，Crystal Dionysopoulos（Joomla）、Tim Doyle（Drupal）、Mathias Bolt Lesniak（Typo3）、Josepha Haden Chomphosy（WordPress）和 Ciarán O'Riordan（Open Forum Europe）向他们的社区（有 500 人注册）解释了 CRA，以及他们的担忧。

CRA 的理念是什么？

CRA 的目的是规范欧盟的软件和硬件网络安全。CRA 希望通过确保欧盟的产品具有较少的漏洞，安全流程透明且明确，以及制造商对产品在其整个生命周期中的网络安全负责来保护商业用户和消费者。

等等，你说“制造商”？

我们稍后再说。

好的，回到理念。这是一个好理念，对吧？我们都支持安全且安全的软件。我们几乎是最安全的 CMS！我们绝对支持这个 CRA！

是的。我们完全同意这个理念。事实上，CRA 的理念与自由和开源软件的标准是一致的。

那么为什么会有这么大的争议？CRA 中有什么那么重要，以至于我们需要与我们的竞争对手结盟？因为我们以前从未这样做过，这是肯定的。

这确实是四大主要内容管理系统（Drupal、Joomla、Typo3 和 WordPress），共同支撑着 50% 的所有欧洲网站，第一次联手。

实际上，我们有很多共同点。我们都遵循GPL许可，都是基于PHP开发的，以社区为中心，并且我们都有超过18年的经验。我们每个人都是一个非营利组织，我们依赖企业捐赠，我们是志愿者驱动的，我们的产品大多支持小型企业。我们一起很强大！

所以，为了回答您的问题：问题不在于CRA本身，而在于措辞。它的表述方式并没有清楚地理解开源软件实际上是什么以及它是如何开发的，这导致CRA的部分内容可能对我们所有人造成潜在损害，并可能导致软件的安全性降低而不是提高。

这听起来一点也不好。主要担忧是什么？

有三件事。

首先，这里有这部分内容

为了不阻碍创新或研究，在商业活动范围之外开发或提供的免费和开源软件不应受本法规的约束。特别是对于软件，包括其源代码和修改版本，它是公开共享和免费可访问、可使用、可修改和可再分配的。在软件的背景下，商业活动可能不仅表现为对产品收费，还包括对技术支持服务收费，通过提供软件平台使制造商货币化其他服务，或者出于非仅为了提高软件的安全、兼容性或互操作性等理由使用个人数据。

这完全不清楚这是什么意思。‘商业活动’的定义过于宽泛且非常不明确。人们通过使用我们的软件创建或维护网站，或开发扩展来赚钱。在这个定义中，这很容易被算作商业活动。在这种情况下，CRA会适用于我们吗？而且，是否有任何符合这些商业活动标准的开源软件？每个CMS生态系统都需要钱来生存。

其次，有关‘未完成软件’的观念。该规则仅免除仅用于测试目的且未上市的不完整软件。这种措辞忽略了现代软件开发现实的推广，即通过发布软件来获取更多反馈。

我们的第三个担忧回答了您关于制造商的问题。该规则将制造商对软件安全缺乏安全的责任原则应用于产品。在我们的情况下，这略有不同，因为我们没有单一的‘制造商’。这就是开源的精髓。如果没有单一制造商，谁将负责bug和安全风险？你猜对了：每个为Joomla代码做出贡献的开发者。这可能会使FOSS在欧盟软件解决方案中无法实施。

所以你基本上是在说，如果Joomla中的一个安全问题在某个地方引起麻烦，我们所有人都会面临巨额罚款吗？

从理论上讲：是的。我们可能面临因漏洞而产生的法律责任。不仅如此。

CRA可能会影响我们的项目和整个开源生态系统。

非营利协会/组织可能会被归类为‘商业’，并被

强制遵守一个限制我们开源生活方式的标准。限制或禁止发布早期版本（alpha & beta版本）可能会使开发变得更加困难。

贡献（由志愿者、付费人员或赞助者）可能变得复杂，以符合CRA的要求。我们的更广泛的社区（网络机构、扩展开发者等）和小型公司/产品可能会突然需要遵守CE标志要求。

这肯定会使贡献变得不再有趣。我们如何阻止这种情况发生？

我们无法阻止，这不是我们想要的。

我们想确保负责CRA的人员了解开源软件是如何运作的，以及如何修改措辞以便让所有人都能更清楚地理解。

我们将如何做到这一点？

我们将继续共同努力实现这一目标。8月2日的网络研讨会是我们向社区通报的第一步。

由于开源软件无论如何都会被包括在内，最好的办法是与欧盟建设性地合作，以最大限度地减少负面影响。这就是我们将要做的。我们已经撰写了一封致欧盟立法者的公开信（阅读它：[https://www.joomla.net.cn/announcements/general-news/5891-open-letter-foss-cms-cyber-resilience-act.html](https://www.joomla.net.cn/announcements/general-news/5891-open-letter-foss-cms-cyber-resilience-act.html)），并主动提供以开源优先的语言和最佳实践，希望这将（希望）影响CRA的最终措辞。

我们计划在布鲁塞尔举办一个研讨会，与立法者面对面讨论开源项目和社区的性质。这个研讨会将于2023年9月/10月举行。

我能提供什么帮助？

谈论这件事。写关于这件事的文章。制作关于这件事的视频。游说。传播消息！在您的社交媒体上分享这篇文章可能是一个好的开始？

如果您能分享一些关于开源项目（包括核心和扩展开发）的良好安全实践的建议，那将非常有帮助，这样我们就可以向立法者提出具体建议。

请随意在下面评论或在专用Mattermost频道中分享：[https://joomlacommunity.cloud.mattermost.com/main/channels/cyber-resilience-act](https://joomlacommunity.cloud.mattermost.com/main/channels/cyber-resilience-act)（还没有加入Mattermost？快来加入我们！请参阅：[https://magazine.joomla.net.cn/all-issues/november-2022/getting-the-most-out-of-mattermost](https://magazine.joomla.net.cn/all-issues/november-2022/getting-the-most-out-of-mattermost)）。