还记得我们写过关于欧盟准备其网络韧性法案（CRA）吗？这是一项关于硬件和软件的欧洲法律。我们非常担心这将对Joomla和其他开源软件的影响。好吧……有消息了。

首先，简要概述一下这是关于什么的。CRA的目的是规范欧盟的软件和硬件安全，以保护用户（包括商业和消费者）。欧盟的产品应该具有更少的漏洞，透明且清晰的安全流程，并且制造商应该对其产品的整个生命周期负责。

主要担忧是什么？

CRA的2022年草案规定，这些规定不适用于在商业活动过程中开发和提供的免费和开源软件。

到目前为止，一切顺利。但进一步来说，它对“商业活动”有一个非常宽泛且不明确的规定，这意味着如果可以用你的软件赚钱，那么所有为该软件做出贡献的人都将对其安全性负责。这对我们来说看起来并不好；在我们生态系统的每个地方，人们都在用Joomla赚钱。

因此，CRA可能对免费和开源软件产生重大影响。这就是为什么四大主要CMS（Drupal、Joomla、Typo3和WordPress）聚集在一起，看看他们是否可以对此做些什么。他们于2023年7月25日向欧盟立法者发出了一封联合公开信，并于2023年8月2日组织了一次联合网络研讨会，向社区解释CRA并分享他们的担忧。

发生了什么变化？

委员会、议会和理事会已达成一项重要澄清：“免费和开源软件产品中包含的数字元素，如果制造商未从中获得收入，则不视为商业活动”。

并且：因此，在确定[在市场上提供免费和开源软件]的商业或非商业性质时，不应考虑产品的开发情况或开发资金的来源。

这种澄清使我们回到了应有的位置：我们的软件是"在商业活动之外提供的"，因此我们是开源的，所以CRA不会像Joomla一样影响我们。

还有其他问题吗？

是的。因为尽管Joomla明显不被视为商业活动，但收费扩展的开发者却是。如果你是扩展开发者，你可能已经在尽一切努力确保你的扩展安全可靠。继续这样做，并确保熟悉CRA的内容。

这将在什么时候发生？

《网络韧性法案》计划于2024年初生效（！），软件制造商在之后有36个月的时间来应用这些规则。查看CRA信息单以获取概览。