Никаких неоднозначных чувств. Давно пора зачищать пространство программистишек законодательной ответственностью за качество кода. Они мнят себя инженерами, а на выходе туториал по пайтону просмотрел на ютупчике, и вот уже программист. И проблема в том, что на фоне этих за еду работающих джамшутов ответственная разработка софта нерентабельна. Они цены сбивают так, что пока ты будешь писать код ответственно, джамшуты несколько поколений программ выкатят, и всё что ты пишешь устареет морально. Потребители софта (в частности на опеннет) очень любят обвинять программистов в безрукости, что во многом так, но проблема глубже чем безрукость, проблема в том, что потребители не готовы платить за качественный код, им больше нравится зубоскалить над теми багами, на которых они подорвались.Cyber Resilience Act выглядит как начало закручивания гаек в профессии. Это ещё не тот уровень требований, который выкатывается настоящему инженеру, но уже хоть что-то. И это хорошо и правильно. Я надеюсь, что это только начало, что всё идёт к тому, чтобы для того, чтобы работать программистом, надо будет иметь профильный диплом и лицензию. И посылать менагеров лесом, когда они будут настаивать на том, чтобы я сделал грязно и быстро, чтобы уложиться в дедлайн.
> каждый разработчик конечного продукта должен проводить собственную ревизию всего кода каждой включенной в него библиотеки
Нет, он не должен. Он может поставить на тёмную лошадку, авось пронесёт. Эта стратегия не запрещается ни CRA, ни этим новым предложением о перекладывании ответственности. Выбор стратегии остаётся за разработчиком. Он может посмотреть по сторонам, найти других пользователей своего депенданса, скинуться с ними, и заказать аудит кода. Он может связаться с разработчиком депенданса и обсудить ситуацию с ним, может быть заслав тому денег за аудит и приставив своего сотрудника спецализирующегося на QA, чтобы разработчик депенданса помог бы этому сотруднику навести порядок в коде.
В конце-концов, он может сделать так, как это делаю я для своих проектов: идёшь на github потенциальной зависимости, смотришь на то, какие практики применяются. Заглядываешь в код, смотришь на наличие тестов. Заглядываешь в issues открытые и закрытые: что это за issues, как много разных людей репортит, какого типа issues репортят, какова реакция разработчиков на репорты, как быстро баги исправляются. 10 минут такого обзора -- это гораздо лучше, чем просто нашёл в гугле библиотеку, скачал по первой попавшейся ссылке, добавил в проект.
> Мне видится пока только один логичный вариант <s>прикрывания зада</s>, как написателю библиотек, - писать свой отказ об ответственности вдобавок к жопелю/мопелю
Если ты разработчик библиотек, то ты должен плясать от радости, потому что если это предложение будет принято, то появляются шансы, что пользователи твоих библиотек начнут платить тебе денег. Например, за регулярное формирование релиза и быструю реакцию на баги с формированием корректирующих релизов. Может быть за уведомления о найденных багах, которые ты будешь рассылать по каким-нибудь каналам всем заинтересованным. Да, пичалька, платить будут не за разработку как таковую, а за бюрократию вокруг неё, но эту бюрократию несложно автоматизировать и она будет отнимать совсем немного времени. Вот только что с критическими багами придётся реагировать резче и чётче, если тебе будет хотеться, чтобы они продолжали платить тебе денег.
