За ошибки в открытом ПО должен отвечать бизнес, а не разработчики

Джеймс Боттомли из IBM Research, который отвечает за развитие подсистем SCSI и PA-RISC в ядре Linux, а также ранее руководил техническим комитетом Linux Foundation, предложил интересное решение для проблемы, связанной с возможной юридической ответственностью разработчиков открытого программного обеспечения за ошибки в коде или ненадлежащее устранение уязвимостей.

Суть идеи заключается в переносе юридической ответственности за ошибки в исходном коде с самих разработчиков открытых проектов на компании, использующие этот код в коммерческих продуктах. Другими словами, ответственность за проблемы, возникшие из-за использования кода, несет тот, кто получает прибыль от этого кода. Например, если компания включает сторонний открытый код в свой продукт, и ошибка/уязвимость в этом коде приводит к ущербу пользователям, то отвечать в такой ситуации и возмещать ущерб должен производитель переданного пользователю коммерческого программного продукта, а не разработчик открытой библиотеки.

Перекладывание ответственности предлагается реализовать через прикрепление к лицензии пункта, указывающего на согласие возмещать убытки и защищать участников разработки от любых юридических претензий в случае полного или частичного использования предоставляемого под данной лицензией исходного кода в качестве компонента или продукта в юрисдикциях, накладывающих дополнительные обязательства по сопровождению программных продуктов.

На данный момент в большинстве лицензий достаточно предупреждения "AS IS", в котором говорится, что разработчики не несут ответственности за ошибки, не дают никаких гарантий на работоспособность кода и не принимаю обязательств по решению проблем, а потребитель соглашается использовать код на свой страх и риск. Отсутствие гарантий от разработчиков способствовало развитию бизнес-моделей на основе платной технической поддержки.

По мере всё более активного применения открытого кода в корпоративном секторе и роста интереса бизнеса к использованию open source, стала набирать популярность модель финансирования разработки через некоммерческие фонды. Компании спонсируют создание фонда на базе какого-либо крупного открытого проекта, а взамен получают возможность участвовать в управляющем техническом комитете этого проекта и влиять на принятие решений о дальнейшем развитии. Появление таких фондов изменило отношение бизнеса к открытому ПО - если раньше оно воспринималось как хаотичная разработка энтузиастов, то теперь стало рассматриваться как инструмент развития технологической отрасли. Изменилось и восприятие ответственности за проблемы в открытом коде - вместо защиты отдельных разработчиков, пункт об отсутствии обязательств стал восприниматься как возможность ухода от ответственности крупных компаний, создающих открытые продукты.

Ситуация с отказом от юридической ответственности может измениться с принятием законопроекта Cyber Resilience Act в Евросоюзе, который предусматривает определенные обязательства для производителей программного обеспечения, должным образом не заботящихся о безопасности и оперативно не устраняющих уязвимости на протяжении жизненного цикла продукт. Законопроект касается производителей коммерческого ПО и, судя по всему, предоставит специальное исключение для ПО под открытыми лицензиями, но несмотря на это, нет гарантий, что в будущем не появятся законы без таких исключений.

Как пример возможных рисков, связанных с юридической ответственностью, упоминается судебное разбирательство в Великобритании, в котором компания Tulip Trading требует изменений в коде блокчейна Bitcoin после того, как она потеряла биткоины на большую сумму из-за взлома. Иск был подан против разработчиков кода, а не против операторов сети Bitcoin. Первая инстанция отклонила иск, ссылаясь на пункт в лицензии об отказе от ответственности, однако разбирательство продолжается в апелляционном суде, который, вероятно, также отклонит иск по другим причинам.