Come pensate che andrà a finire?

Un altro chiodo nella bara delle piccole software house nostrane che sviluppano prodotti basati principalmente su librerie free e open source. Un software moderno ha centinaia di dipendenze open, praticamente impossibili da certificare. E la scelta del software commerciale non è una alternativa per una piccola software house, visto che le licenze dei software professionali sono costosissimi. Fra questo, Nis, AI act, GDPR ecc... fare innovazione digitale in Europa diventa sempre più una missione suicida... Che sconforto..

Qualcuno ha pensato all'impatto che avrà sulle piccole medie imprese che si autosviluppano il SW di gestione delle loro macchine? Dovranno dedicare delle risorse, magari già scarse, all'analisi e rispetto di queste nuove normative. E il costo ricadrà su il cliente finale rendendo il nostro mercato ancora meno competitivo rispetto a produttori extra EU che del CRA se ne fregano...

Ma ve li immaginate i processi in giudizio legati al CRA che si giocheranno sulla punta di tecnicismi informatici? Chi lo fa il giudice?

Se un progetto open source viene sviluppato negli USA, supponiamo che sia (per esempio) un firewall open source composto da molteplici librerie open, dovesse essere venduto come servizio in Europa, come faccio a garantire che il progetto rispetti il CRA? Soprattutto se è composto da svariate librerie e migliaia di righe di codice.

Io sono pessimista e secondo me causerà più male che bene. - Pessimo dal punto di vista cybersecurity. Il principale obiettivo è quello di dare più potere alle agenzie di sicurezza governative. - Per le piccole realtà è un aumento di burocrazia inutile. (si parla di autocertificazioni, cioè dai scherziamo) - Per le grandi realtà ci sono talmente tante aree grige su cui difendersi da eventuali accuse che se la passeranno sempre liscia.

Ragazzi video top! Mi avete fatto venire voglia di passare subito a Debian e dormire sonni più tranquilli. Grande Andrea, grande Tommaso, e grazie per averci messo un po’ di pepe sulla questione! Al prossimo, Morro!

non ho mai capito perchè non è stato fatto sotto forma di certificazione opzionale. chi vuole e può prende la certificazione e quindi il suo software acquista maggior valore per il cliente. poi sta al cliente scegliere tra il software senza certificazione (probabilmente più economico) e quello con la certificazione (probabilmente più costoso) in questo modo semplicemente nessuno avrebbe fatto nessun obiezione. mha

Io sono d'accordo con voi al 100%, sul finale vi siete espressi correttamente sia sul positivo che sul negativo che sono sostanzialmente ciò che preme a me.

e se faccio una PR su un modulo kernel e questa disgraziatamente introduce una vulnerabilita' e la PR viene accettata. La modifica magari e' di due righe, ma l'impatto e' grande,e comunque la responsabilita' e' mia o di chi ha integrato la PR ?

Ottimo contenuto come sempre. Grazie

quindi vale anche per l'hardware ? se un'azienda sviluppa un prodotto con dentro un microprocessore deve verificare che il microprocessore non abbia vulnerabilita' ? e' ovviamente impossibile. Ad esempio Risc-V

Ci tentano una volta, va male. Ci tentano la seconda volta, ci riescono. Così per questa e altre cose: fanno le cavolate fino a quando non le approvano.

Ottimo, giusto domani ho un talk su privacy, sicurezza e videosorveglianza. Ti rubo qualche spunto ma ti cito 😁❤️

si arriverà come in altre professioni a dover avere un'assicurazione professionale

Grazie, un servizio davvero prezioso.

Sono molto preoccupato per la zone grigia lato opensource e contribuzioni e ho molta paura che un giorno le mie contribuzioni possano costarmi la vita... Forse e' meglio non contribuire piu?? oppure andare in america???

interessante, anche se non è che ci abbia capito un gran che, l'argomento è complesso, mi sembra che alcune cose siano un po difficili da applicare nel reale, sopratutto nel FOSS e opensource

I signori legislatori vivono nel passato, la soluzione e' la decentralizzazione. Per chiunque faccia del profitto nel frattempo c'e' tanto spazio fuori. dall'europa.

Tutto pieno di zone grigie, poi dipende se fai il bravo e non rompi i cohlioni nessuno ti dice nulla... altrimenti ?

Io condivido le intenzioni del regolamento: se io guadagno col sw. Allora devo rispettare degli standard di qualità (come anche altri prodotti tipo cosmetici, farmaci, etc.). Spero che questo sia uno stimolo per le aziende private di rendersi carico dei costi di alcuni progetti open, magari non costi diretti, ma tutti quelli legati a certificazioni, standard, etc.

Come al solito l’Unione (Sovietica) Europea invece di semplificare le cose, le complica. Queste norme andavano fatte scattare sopra un certo fatturato, per non dire che se l’obiettivo è la sicurezza, allora sono i soldi che devi mettere, in modo che le varie entità - piccole aziende, community, sviluppatori singoli - possano pagare gli esperti per fare questi assessment. Ma come può mai un singolo, o un piccolo team autocertificarsi? Cosa certifica? Chi se le legge le migliaia di righe di codice di un pacchetto che aggiungi. Ma soprattutto chi ha la competenza per capirle? Pochi soggetti sono bravi nel loro campo e nella sicurezza. È ridicolo. Per non dire tutte queste mancate definizioni… si finirà in mano a giudici più incompetenti degli acefali che hanno prodotto questa porcheria normativa. Non ne parliamo poi della storia delle vulnerabilità da comunicare. L’azienda semplicemente fingerà di non averla scoperta finché non ha patchato.

Il mondo digitale e` sia complesso che profondo ma soprattutto pratico, questo tipo di legislazioni non possono essere neanche lontanamente formulate e ragionate dalla maggioranza dei professionisti che lavorano nei suoi svariati settori, immaginiamoci persone che ne vivono al di fuori.

Ma davvero abbiamo tutti detto in coro con Morro: "quindi anche Docker"?

domanda: un azienda produce per se stessa, come tool interno, un software. L'azienda è a scopo di lucro, e utilizza questo software per fare soldi, ma il software in se non è il prodotto e non viene mai rivenduto. in questo caso come si congura il CRA se 1) il software è acceduto solo da dipendenti interni all'azienda (esempio gestionale interno) 2) il software è acceduto anche da clienti dell'azienda, ma ilsoftware in se non è comunque il prodotto (esempio un sw per inserire ordini)

già il fatto che si usi il termine "resilienza" per atto un legislativo è indicativo di una fregatura . Resilienza è un termine che dovrebbe essere usato solo ed esclusivamente come particolare proprietà dei metalli e non trasformarla in un costrutto di valenza sociale e in qualche modo tautologica. Al netto delle pregevoli spiegazioni dell'avvocato, la moltitudine degli attori non protagonisti (gli utilizzatori finali : consumatori di hardware e software) quale ricaduta avranno con l'applicazione del CRA ? .....come al solito la terminologia approssimativa con cui si scrivono le leggi è funzionale al gioco interpretativo (altrimenti a cosa servirebbero gli avvocati) così saranno i soliti noti che per mezzi economici trarranno vantaggi nella ricerca della responsabilità (di chi, perché, ma come... e via cantando) .....diffondere questo video è un imperativo categorico !!!!!

Morro, tu fai pubblicità ai prodotti di infomaniak che stanno in Svizzera. Questa CRA si applica anche a loro e ai loro prodotti? Anche se si trovano in Svizzera, quindi fuori dalla Comunità europea?

Ciao! Quindici anni fa lavoravo per web agency che compra spazio ftp, ti monta il sito (basato su open source o proprietario) e ti scrive nel contratto che il codice è del cliente e che può farci quello che vuole, resta del cliente anche dopo la fine del contratto. In pratica anziché venderti il prodotto sito, ti vendo il servizio sito installato a casa tua... Avevamo già anni fa la scappatoia a questa legge?

ma quanto si vede che chi ha partorito queste idee non ha nemmeno idea di cosa sta chiedendo... è oltremodo rischioso, insensato e inutile nel momento in cui non puoi ( e non puoi) verificare che chiunque debba segnalare una vulnerabilità del proprio software, lo faccia... e/o lo faccia per tempo. Inoltre tutti i software che espandono le proprie funzioni tramite plugin sviluppati da terzi? Ma le domande a cui non possono dare una risposta sono migliaia... ma sono del mestiere questi?

Ma il CRA riguarderà anche la famigerata AI? 🖖

allora mi sono documentato e se non ho capito male gli sviluppatori devono segnalare la vulnerabilità all'ENISA e alle autorità nazionali. La segnalazione non deve però includere come sfruttare la vulnerabilità ma semplicemente l'impatto che questa può avere per l'utilizzatore. Non si devono mettere dettagli tecnici ma solo l'impatto che questa comparta e i tempi di risoluzione e/o cosa si sta facendo per risolvere sempre senza essere tecnici.

Un video su Bazzite OS?

Per le stack ed i software composti da molteplici librerie quali particolari framework etc, nasceranno strumenti di segnalazione e aggregatori di vulnerabilità. Node package manager ad esempio già fornisce questa funzionalità. Quello sulla sicurezza dovrà diventare una preoccupazione di chi sviluppa. Dubito che questa legge e agenzia siano nate con lo scopo di perseguire i piccoli cristi, ma piuttosto per rendere più sicuro l’ecosistema software europeo globalmente. Secondo me serve meno panico.

Da capire le implicazioni per chi non vende il codice ma il servizio che questo codice fornisce sotto forma di webapp... Chiaro che nel codice è possibile l'uso di librerie open source anche modificate per le proprie esigenze.

Questa è un'altra legge spazzatura. Un ennesimo strato normativo steso sopra una montagna di asfissiante burocrazia. Una legge scritta nel modo più vago e incerto possibile che verrà usata nei modi più dannosi. Una normativa che NON favorisce i popoli europei, NON favorisce le aziende europee ne tantomeno quelle italiane, NON garantisce nulla tranne più privilegi e potere a chi ne ha già, una normativa che premia esclusivamente le solite multinazionali(quasi tutte USA) danneggiando tutti gli altri. Questa legge va ad inserirsi in un sistema burocratico/legislativo che soffoca l'economia, italiana prima ed europea poi, che impedisce lo sviluppo di qualsiasi attività concorrenziale europea. Cercare qualcosa di positivo in queste norme è come cercare qualcosa di positivo nel cappio che ci sta strangolando. Volete vivere in una "modernissima" unione sovietica d'europa? Volete credere, obbedire e fare una brutta fine? Allora rallegratevi, perchè questa strada è quella "giusta".

Non è che questa legge ha zone grigie, è tutta grigia. Si affida a termini come "modifica sostanziale" che non significa niente. Normative di questo tipo andrebbero messe in atto da tecnici puri seguiti da consulenti esperti, non dall'equivalente informatico di Matteo Salvini.

Ciao Morro, una curiosità ..che software hai usato per fare la videoconferenza ?

Giá il GDPR è una questione complicata da gestire e può portare a costi aggiuntivi, inoltre si aggiungono altre regole sulla sicurezza che banalmente renderanno ancora più onerosa da parte di piccoli team, la gestione degli sviluppi, e di conseguenza ci sará meno probabilitá di avere grosse aziende che nascono. Ottima scelta Europa, tanto lo sviluppo software di fatto non crea occupazione, genera crescita oppure porta innovazione! Contonueremo ad essere il conteninente che fa regole e basta.

L'essere responsabili per tutte le librerie open source è assurdo, pensa usare librerie grosse come ffmpeg che a sua volta si basa su tante altre librerie, vuol dire che un produttore deve controllare sia ffmpeg sia le sue dipendenze. Ma se vogliamo scalare ancora di più: Android, fatto per lo più da codice open source, è impensabile che i produttori controllino tutto, tra l'altro in questo caso Samsung diventa produttore per le rom dei suoi dispositivi, idem Xiaomi, Asus etc etc.. un casino.

come puoi pensare a note positive quando vedi Europa o Commissione Europea ed un qualsiasi dominio che sia scientifico in senso ampio? non si può l'EU e di per se una entità che introduce un livello di complicazione senza dare vantaggi e questo cozza con qualsiasi metodo scientifico ... allora figurati con il codice o gli algoritmi e come voler sciogliere l'olio nell'acqua

"compromessi", compromessi, sempre solo compromessi. ne vanno fieri dei loro 'compromessi'. tutti opachi. mai capaci di chiarezza, di semplicità, di norme dirette. a questi, Machiavelli, je spiccia casa.

Posso scrivere un software e mettere nella licenza che non può essere usato nell'unione europea. Ciao EU.

Ragazzi mi domando, se per esempio sono un piccola impresa che offre servizi basati su progetti open source "no profit" e su questi servizi ci guadagno perché li vendo, sono considerato un distributore secondo il CRA? Se sì, ho delle responsabilità? Il CRA si applica sui progetti open che vendo come servizi a terzi?

Ma perché l'avvocato non è centrato nella webcam? 😁

Meglio il software libero. Rispetta la libertà degli utenti e delle persone.

il concetto di recupero dei costi mi sembra ambiguo. Un singolo sviluppatore che riesce a campare e pagare le bollette con le donazioni al suo software free e opensource è da considerarsi un mero recupero dei costi?

Ente certificatore == €€€, tutto il resto è fuffa

quindi per capire meglio, una Caninical dovrà spiattellare le sue vulnerabilità a questi 2 sistemi centralizzati ma un Debian-Project no. Ma canonical con ubuntu usa debian per il proprio sistema, quindi penso che quella vulnerabilità possa anche esserci su debian. O un Proxmox... Forse anche la Proxmox Server Solutions GmbH dovrà spiattellare le sue vulnerabilità. Non lo so ma tutto questo a mio parere aprirà la strada a software sottobanco non controllato dai governi... Sarà un pò come tornare agli anni 2000 quandi si spacciavano le crack ma adesso software veri e propri che non sono "controllati" dal governo.

Progetto non open source che utilizza grandi librerie open source... Arriva un grande problema in una di queste librerie utilizzate... Dovrei segnalare un bug su cui non ho potere a meno che mettere le mani in questa libreria direttamente... Boh.. prevedo un grande casotto...

Ma quindi proxmox?😢

😂 vogliono i zero day per sfruttarli 😂

Immagino la fine che faranno i leak nel database in Ungheria e simili 😂🎉

Quindi ci saranno database che catalogano le vulnerabilità in paesi come l'Ungheria... Che dire, non ci vedo proprio alcun problema

Non ho ancora finito il video e non so se questo verra tirato fuori nella discussione: Ma se i piani a pagamento di un software open source venissero considerati come una donazione? Mi spiego meglio: c'è software X che sul PlayStore ha una versione free es una "pro" dal prezzo di 2 euro MA i codici sorgenti sono tutti su github e c'è una guida per compilarti da solo la versione "pro" quindi, questo pagamento non sarebbe solo una donazione essendo che il servizio è di fatto gratuito?

Certamente ci sono imperfezioni, ma sono totalmente d'accordo. Finalmente si spera tante aziende smetteranno di mettere sul mercato prodotti già bucati ad oltranza. Questo dovrebbe portare anche ad una evoluzione più lenta dei prodotti ma almeno molto più sicuri, che è sempre stato il mio pensiero. Per l'hardware meglio ancora visto che è molto difficile porre rimedio a buchi o altri problemi.

Le solite scuse per multare chi non rispetta ste pagliacciate.. giusto per incassare. Davvero gli interessa qualcosa se qualcuno viene ownato?

Avrei delle domande, magari qualcuno può darmi delle risposte. Stavo leggendo il regolamento, dalla lettura mi sembra che il classico nerd che scrive codice sorgente e decide di distribuirlo liberamente su github/gitlab/altra piattaforma non sia obbligato ad essere CRA-compliant dato che non sta svolgendo un'attività commerciale, mentre invece deve rispondere ai requisiti di sicurezza richiesti dai (futuri?) organi UE se decide di vendere il software basato su detto codice, o comunque servizi che utilizzino detto codice. Tuttavia, se una persona decide di vendere "il codice sorgente" (as it is), cioè decide di vendere un documento scritto che contiene delle istruzioni espresse in qualsivoglia linguaggio di programmazione (sia esso in forma digitale o anche cartacea) a quel punto il programmatore deve essere CRA-compliant? L'esempio che mi viene di questo tipo potrebbe essere una persona che scrive delle note/libri/o altro documento tecnico per finiti didattici o divulgativi. Grazie a chiunque potrà trovare tempo per rispondere.

io continuo a mantenere gli archivi cartacei e ho un telefono senza software :P

È il momento di spostarsi nel Deep Web e lavorare in anonimato....

Quando i boomer legiferano

W Debian

EU MERDA

Primo

Bello vedere i commenti di chi fa software alla carlona, scopre che dovrà farlo in maniera più seria e piuttosto che farlo inizia a pensare di spostarsi oltre oceano.