<div dir="ltr">From what I can see from the proposal, there are a couple of things to note:<br><br>1. As soon as you go "commercial" in whatever way, your FOSS project must be bound by the Cyber Resilience Act. So, you can take a FOSS project, but as soon as you ask for "paid" support, your whole project (including the FOSS part) suddenly becomes part of that Cyber Resilience Act.<br>2. Hacking a product will violate the Cyber Resilience Act. It clearly states that you must do anything to "prevent" your product from being tampered with (as in do something it was not intended to do).<br>3. You also need to supply a "bill of software", which means you need to give a lengthy file with ALL the software used in your product. Knowing how good the python "rabbit hole" can be, I am wondering what rabbit holes this can bring since this can blow up significantly (I want to know EVERY package that is being used, not just "yeah, we're running this framework from this supplier")...<br>4. It looks like the hardware and the software running on it need to have a CE marking. Just stating that the hardware is CE certified is not good anymore, also the application needs to be CE-certified.<br><br>Knowing how stuff sometimes goes, I am waiting for the time when we have a recall of consumer fridges because the "software might pose a security risk to consumers".<br><br>Greetings,<br><br>Julius</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Oct 31, 2022 at 11:15 AM Alessandro Vesely <<a href="mailto:vesely@tana.it">vesely@tana.it</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi all,<br>
<br>
I just browsed the ISOC article linked below and it sounds wrong to me.  While <br>
it is correct to note that "certification will not eradicate bugs even when a <br>
manufacturer is fully compliant", trying to exempt FOSS is not the right approach.<br>
<br>
What software would you use, a fully certified, professional OS, or a <br>
run-at-your-risk product by hobbyists who are exempted from security <br>
regulations by a compassionate exception to the Cyber Resilience Act?<br>
<br>
If the point is certification costs, I'd recommend that certification agencies <br>
be required to work for a percentage of the cover price of the product they're <br>
certifying, which is 0 for most FOSS packages.  No exceptions.<br>
<br>
<br>
Best<br>
Ale<br>
<br>
<br>
On Tue 25/Oct/2022 10:53:39 +0200 Johan Helsingius wrote:<br>
> Hi Maarten,<br>
> <br>
> Thank you for the heads-up - it is definitely a proposal that<br>
> needs to be followed.<br>
> <br>
>      Julf<br>
> <br>
> On 24-10-2022 14:58, Maarten Aertsen wrote:<br>
>> Dear cooperation working group,<br>
>><br>
>> I'd like to call your attention to my talk on the draft agenda of the<br>
>> open source wg this Wednesday, because I believe it may be of interest to <br>
>> members of this group:<br>
>><br>
>> On 10/10/2022 18:47, Marcos Sanz wrote:<br>
>>> Agenda RIPE 85 Open Source WG Session<br>
>>> Wednesday, October 26, 10:30 -  11:30 (CEST)<br>
>>> [..]<br>
>>> B. "Cyber Resilience Act effects on OSS", Maarten Aertsen, NLnet<br>
>>> Labs<br>
>>><br>
>>> NLnet Labs is closely following a legislative proposal by the European <br>
>>> Commission affecting almost all hardware and software on the<br>
>>> European market. The Cyber Resilience Act intends to ensure cybersecurity of <br>
>>> products with digital elements by laying down requirements and obligation <br>
>>> for economic operators.<br>
>>><br>
>>> In this short talk you'll learn what to expect in the Cyber Resilience Act <br>
>>> and why this proposal may matter to you as a developer<br>
>>> or user of open source software. If so, let's make sure that policy<br>
>>> makers take into account its effects on open source development by<br>
>>> professional organisations and volunteers alike.<br>
>>><br>
>>> Do get in touch with Maarten when you have similar concerns, want to team up <br>
>>> or can help us to provide technical expertise in the right places.<br>
>><br>
>> If you would like to read a little more on the topic, Olaf Kolkman has just <br>
>> published a blog post on the same topic at the Internet Society blog [1].<br>
>><br>
>> I'm new to this community: don't be shy and talk to me :-)<br>
>><br>
>> kind regards, Maarten<br>
>><br>
>> [1] <br>
>> <a href="https://www.internetsociety.org/blog/2022/10/the-eus-proposed-cyber-resilience-act-will-damage-the-open-source-ecosystem/" rel="noreferrer" target="_blank">https://www.internetsociety.org/blog/2022/10/the-eus-proposed-cyber-resilience-act-will-damage-the-open-source-ecosystem/</a><br>
>><br>
> <br>
> <br>
<br>
-- <br>
<br>
To unsubscribe from this mailing list, get a password reminder, or change your subscription options, please visit: <a href="https://lists.ripe.net/mailman/listinfo/cooperation-wg" rel="noreferrer" target="_blank">https://lists.ripe.net/mailman/listinfo/cooperation-wg</a><br>
</blockquote></div>