Al een paar weken is op Mastodon een draadje te volgen van Daniel Stenberg, Open Source supporter, developer en de man van Curl. Daniel krijgt zoals hij al vreesde de laatste tijd eigenaardige mails. Bedrijven stellen hem vragen over bijvoorbeeld libssh2. Dat heeft alles te maken met de CRA, maar maakt ook iets anders pijnlijk zichtbaar.
Ja, CRA is EU wetgeving die moet zorgen voor onder andere betere en veiligere software. Iedereen die software levert, of iets dat softwarecomponenten bevat moet zorgen voor updates. In geval van incidenten moet dat gemeld worden en men moet ook de keten in de gaten houden.
In het geval van software betekent dat zoveel als dat alles dat via externen wordt betrokken om het eigen pakket te maken moet worden gecontroleerd. Dat leidt de nodige stress bij duizenden bedrijven die software van derden betrekken. Of ze zelf software leveren of hardware (dus ook stofzuigers en babyfoons) maakt voor de CRA niets uit: ze moeten in control zijn.
libssh2
De eerste bedrijven die stappen nemen om te kunnen aantonen dat ze in control zijn mailen wild om zich heen naar iedereen die al toeleverancier is geïdentificeerd. Zo is Emerson, een bedrijf met een jaaromzet van ruim 17 miljard USD, er achter gekomen dat het libssh2 gebruikt. Dus wat doet men, men zoekt contact met de leverancier en verzoekt het mee te werken aan een “cybersecurity risk assessement”.
Stenberg is geidentificeerd als “leverancier”, maar die term is meerdere redenen niet geheel passend. Erger is iets heel anders, libssh2 is OS. Emerson betaalt geen cent voor het gebruik maar komt nu wel vervelende mails of Stenberg maar even tijd wil stoppen het invullen van formulieren et cetera zodat het bedrijf aan de CRA kan voldoen. Stenberg reageert – inhoudelijk correct – op dit soort verzoeken, Emerson is schijnbaar niet de enige, met een mail waarin hij aangeeft dat er geen contract is. Daarom kan hij de papierwinkel niet invullen.
Fatsoen
Niet gehinderd door enige vorm van fatsoen is de reactie daarop een “reminder” dat er nog geen input is ontvangen. Fatsoen is wel van toepassing op de reacties die Stenberg geeft en de manier waarop hij deze communicatiestroom deelt. Op Mastodon is de sfeer wat dat betreft een gemoedelijk. De reacties op zijn ervaringen blijven netjes, dat is op andere socialmedia platformen wel anders.
Nadeel is wel dat hierdoor tot op heden geen enkele grote IT titel met internationaal bereik iets van dit theater heeft meegekregen. Legal en reputatie managers van Emerson en al die andere bedrijven die gratis en voor niks van OS gebruikmaken kijken niet verder dan LinkedIn en zo. Daarom hebben ze nog niet door dat ergens enorm de draak met ze wordt gestoken.
(bij dit artikel past maar een illustratie. En dat sluit aan de op de bio van Stenberg: “the curl factory, Sweden – close to Nebraska)