同一家公司或开发人员可以在为开源做出贡献的同时开发商业产品或提供服务。重要的是活动的性质,而不是做活动的人。 CRA 在定义网络安全责任时也没有考虑制造商的预期用途。
这意味着任何软件模块的供应商,无论是否开源,当该软件用于控制核电站时,都可能对漏洞负责,即使该软件是为玩具而设计的。
产品决策(例如使用开源将产品推向市场)及其 伊拉克电报数据 后果(后者的网络安全能力)之间人为的脱节代表着与欧盟单一市场和世界其他地区其他既定规范的彻底背离。这将损害制造商的积极性,制造商将寻求将网络安全的责任转移给供应商和上游社区。此外,它将损害社区在欧盟提供软件同时保持开源开发模式活力的能力。
开源开发模型有很多变化,开源代码的流动方式对于外部人员来说并不容易理解。
假设最了解代码并且最适合修复漏洞的开发人员位于开源组件的上游。这个概念被用来解释上游社区应该对其项目衍生的数字产品的网络安全负责的想法。误解是,虽然贡献最终被整合到上游项目中,但几乎所有贡献的开发人员都位于下游,即创建最终产品的公司中。当他们将软件集成到更专业的产品中时,他们会发现问题、漏洞和潜在的代码改进。举一个假设的例子,解决安全问题的 Linux 内核的最佳 GPU 驱动程序开发人员并不为 Linux 基金会工作。他们为 GPU 公司工作,为 Linux 内核的上游变更做出贡献。在商业 GPU 公司工作时,他们可以访问开源社区没有的专有硬件和固件规范。我最有能力解决假设的 GPU 驱动程序安全问题。