Suomi

2412 readers

1 users here now

Suomalainen yhteisö suomalaisille ja kieltä hyvin osaaville.

The Finnish community for natives and proficient users of the language.

English-language discussions and news relating to Finland and the Finnish culture --> !finland@sopuli.xyz

Paikkakuntien yhteisöt / City communities:

Muita suomenkielisiä yhteisöjä / Other Finnish communities :

founded 5 years ago

MODERATORS

QuentinCallaghan@sopuli.xyz

tieluohan@sopuli.xyz

Kenties allekirjoituksen arvoinen juttu - avoimen lähdekoodin kehittäjille kaavaillun uhkasakkosysteemin peruminen (coss.fi)

submitted 1 month ago by oranki@sopuli.xyz to c/suomi@sopuli.xyz

9 comments fedilink hide all child comments

Ajattelin jakaa täälläkin, itse bongasin Mastodonin puolelta tämän (https://suomi.social/@laho/115972283271647632)

Hallitus kaavailee "avoimen lähdekoodin ohjelmistojen ylläpitäjille" uhkasakkoa esimerkiksi haavoittuvuuksien korjaamiseksi.

Vaikuttaa ainakin omaan käsitykseen täysin väärältä lähestymistavalta sinällään aiheelliseen ongelmaan.

Itse esitys: https://www.finlex.fi/fi/hallituksen-esitykset/2025/179#bills

you are viewing a single comment's thread
view the rest of the comments

[–] ananas@sopuli.xyz 3 points 1 month ago* (last edited 1 month ago)

Tuo uhkasakko ei koske valmistajia, kun ohjelmistovastaava erikseen määritellään "other than a manufacturer".

Mut joo, siinä just ajatellaan isompia firmoja ja yhteisöjä, ja se tarvitteeko se uhkasakkoja on oikea kysymys. Muut EU-maat ei oo nähnyt sitä tarpeelliseksi, ja eilen kun käytti päivänsä siihen että kahlasi noita säännöksiä läpi, niin se uhkasakko on ohjelmistovastaavallekin osoitettuna aika pahasti sen EU-tekstin henkeä vastaan. Ja se, et toi toimii päinvastaisesti odotuksiin siihen nähden että on lukenut vain CRA:n vs. tuon hallituksen esityksen Suomessa ei oo hyvä juttu kellekkään kyl.

Jos oisin COSSin lausuntoo valmistelemassa ollu, niin toi on se mihin oisin tarttunu, koska meikästä se, että poiketaan suoraan EU:n perusteluista on IMO paljon isompi juttu kuin se uhkasakko itsessään sinänsä.

Taustalla on varmasti joku pamppu, joka on sokkona käyttänyt koodia omassa tuotteessa josta on paljastunut tietoturvaongelmia. Ja nyt halutaan pakottaa korjaamaan ilmaiseksi isojen yritysten tietoturvaa.

Ei se ihan noin toimi. Jos oot ylläpitäjä/valmistaja niin tuo uhkasakko-kohta ei koske sua. Siinä tapauksessa et oot se ohjelmistovastaava, niin sillon oot jo kaupallisessa toiminnassa sen projektin kanssa, ja silloin joudut vastaamaan noista CRA:n pykälistä, mutta siinäkin puhutaan siitä et silloin ohjelmistovastaavan tulisi pyrkiä upstreamaamaan tietoturvakorjaukset (mitä ei taidettu tosin kirjata hallituksen esitykseen).

Toki se ohjelmistovastaava on velvoitettu korjaamaan ne välittämissään ohjelmistoissa ne löytäessään, mut se lasketaan tuossa palveluun kuuluvaksi laaduntarkkailuksi, ei ilmaiseksi korjaamiseksi.