История изменений

Если ты хочешь какие-то гарантии, типа тебе будут фиксить баги в течении года, то надо заключить какой-то договор.

1. Это нормализует ситуацию для разработчиков коммерческих решений брать всё подряд бесплатно без регулирования и оглядки на последствия с подходом, что государство как-нибудь профинансирует эти бесплатные проекты, а Васяны как-нибудь да починят.

2. В любом ИТ проекте у тебя отказ от гарантий и ответственности, с учетом уровня и скорости роста текущих проблем это скоро поменяется.

3. СПО может и не избежать этого регулирования, как бы абсурдно это не выглядело. А если общество примет идею «да, проблемы в СПО, его просто не финансируют», то следующим шагом жди и ответственность.

Ориентировочно это будет выглядеть так. Будет создан реестр проектов, где надо знать кто автор и где эти проекты задействованы. Затем ресурсы для размещения кода и репозитории заставят отдавать эту статистику и ввести верификацию пользователей. Код/пакеты с выявленными уязвимостями будет помечаться, менеджеры пакетов не должны будут его ставить в автоматическом режиме. Авторов этих пакетов обяжут реагировать на уязвимости в течении определенного времени после последнего дня доступности пакета.

Это я обрисовал лайтовый вариант и куда ветер дует. Есть высокая вероятность, что в результате регулирования на СПО лягут обязанности на том же уровне, что и на коммерческие проекты.

Если ты хочешь какие-то гарантии, типа тебе будут фиксить баги в течении года, то надо заключить какой-то договор.

1. Это нормализует ситуацию для разработчиков коммерческих решений брать всё подряд бесплатно без регулирования и оглядки на последствия с подходом, что государство как-нибудь профинансирует эти бесплатные проекты, а Васяны как-нибудь да починят.

2 В любом ИТ проекте у тебя отказ от гарантий и ответственности, с учетом уровня и скорости роста текущих проблем это скоро поменяется.

3. СПО может и не избежать этого регулирования, как бы абсурдно это не выглядело. А если общество примет идею «да, проблемы в СПО, его просто не финансируют», то следующим шагом жди и ответственность.

Ориентировочно это будет выглядеть так. Будет создан реестр проектов, где надо знать кто автор и где эти проекты задействованы. Затем ресурсы для размещения кода и репозитории заставят отдавать эту статистику и ввести верификацию пользователей. Код/пакеты с выявленными уязвимостями будет помечаться, менеджеры пакетов не должны будут его ставить в автоматическом режиме. Авторов этих пакетов обяжут реагировать на уязвимости в течении определенного времени после последнего дня доступности пакета.

Это я обрисовал лайтовый вариант и куда ветер дует. Есть высокая вероятность, что в результате регулирования на СПО лягут обязанности на том же уровне, что и на коммерческие проекты.