オープンソース業界に広がる懸念　欧州で導入予定のサイバーレジリエンス法

オープンソース陣営の主張

　このようなCRAの草案に対し、オープンソースソフトウェア陣営から反対意見が出ている。

　個人開発者が自分の書いたコードを公開し、それを他の人（や企業）が組み込んでソフトウェアにするのがオープンソースの特徴だ。しかし、CRAの草案では、もし開発者が作成したコードに脆弱性が含まれていた場合、開発者個人が製造責任や賠償責任を問われる恐れがあるという。

　オープンソースの定義やライセンスを認定する非営利団体Open Source Initiative（OSI）は、今年1月、パブリックコメント募集期間中に意見を提出して修正を求めた。

　草案は前文（Recital）で、金銭的な見返りを受けていない開発者を除外するとしている。しかしOSIは、これではあいまいであり、オープンソースコミュニティが実際に機能する仕組みに沿っていないと指摘。「20年以上の経験から、草案がオープンソースソフトウェアに大きな問題を引き起こすことは明らか」と述べている。

　Pythonの普及・促進を図るPython Software Foundation（PSF）も、4月11日付で「CRAはPythonエコシステムに予期せぬ影響をもたらす恐れがある」とする声明を発表した。

　CRAの解釈では、Pythonに不具合があった場合、PSFが責任を負う可能性があるという。声明では「われわれはこれらの製品から金銭的利益を得たことは一度もない」「上流開発者に責任を負わせることは、セキュリティを強固にするのではなく、弱めることになる」としている。

　同財団のWebサイトでは、Pythonのコア言語、標準ライブラリ、インタープリタなどで1日3億回以上のダウンロード、ソフトウェアパッケージのPython Packaging Index（PyPI）は毎月100億回のダウンロードがあるという。「Pythonでサービスを構築したり、データを分析したり、AIモデルを作成する人は多くが、営利企業、学術機関、政府機関などに属している」といい、例としてYouTube、Instagram、Spotifyなどを挙げる。