<div dir="auto">Even:</div><div dir="auto"><br></div><div dir="auto">Thank you very much for responding - I want to make the case that you are not alone (and will get vacations). Even with regulations …</div><div dir="auto"><br></div><div dir="auto">If you are charging for an enhancement - it is development work one and done.  It is probably in your contract to meet the requirements (docs and QA) to get the change into the open source codebase.</div><div dir="auto"><br></div><div dir="auto">If you wish to offer (or if the customer requires) support for a period of time they can negotiate that with you. </div><div dir="auto"><br></div><div dir="auto">However you do not have to be the distributor - the customer self-serves from the open-source distribution. In this case the project - specifically the steering committee (acting on behalf of osgeo) are on the hook for a lot of these reg requirements.</div><div dir="auto"><br></div><div dir="auto">This could be good for osgeo (for this specific case) in terms of encouraging code contributions (rather than forks and customizations). OSGeo as a software foundation should be able to shelter small and medium business (perhaps negotiating some participation to make the story work). </div><div dir="auto"><br></div><div dir="auto">Jody</div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Aug 18, 2023 at 12:09 PM Even Rouault via Discuss <<a href="mailto:discuss@lists.osgeo.org">discuss@lists.osgeo.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)"><br>
Le 18/08/2023 à 20:50, Jody Garnett via Discuss a écrit :<br>
> Thanks for setting that up, can we add it to the website ad an event <br>
> or news item? That way it can be shared on social media and email lists.<br>
><br>
> The missing voice on this discussion (and osgeo in general) is the <br>
> small and medium business owners.<br>
><br>
> A whole bunch of the concern is the impact on small and medium <br>
> business owners. We have not yet heard from our service providers and <br>
> sponsors on this subject.<br>
<br>
I count as a small business owner, actually a one man company, and <br>
service provider and I'm indeed really concerned by the CRA.<br>
<br>
Seeing obligations of reporting security events within a 24h delay makes <br>
me believe that I will have no right for any vacations.... The whole <br>
text seems to have being written with quite large software companies in <br>
mind with sufficiently big teams so they can organize on-call teams.<br>
<br>
It is also completely inadequate to make a service provider responsible <br>
for the whole codebase: if I charge a customer for an enhancement in a <br>
part of the software, is it legitimate to make bear what happens in <br>
other places of the code base I may possibly not have written ? The text <br>
possibly doesn't imply this (but then it becomes fun to determine who is <br>
responsible to respond to a given security event), but such scenarios <br>
specific to open source decentralized model are not detailed, so we are <br>
in the legal uncertainty domain...<br>
<br>
Also the obligations linked to the lifetime of a version are written <br>
with companies that have regular income from licensing fees and can <br>
actually take a part of them to organize security monitoring and <br>
response. Service providers don't necessarily have recurring income <br>
sources linked to a software, given that they charge for the labor (one <br>
time event) but not usage (long-term event).  What happens if I'm no <br>
longer involved with a software: am I still liable for what I wrote in <br>
the past, and people still use for free, but I should still bear the <br>
costs while no longer getting any related revenue ?<br>
<br>
Even<br>
<br>
-- <br>
<a href="http://www.spatialys.com" rel="noreferrer" target="_blank">http://www.spatialys.com</a><br>
My software is free, but my time generally not.<br>
<br>
_______________________________________________<br>
Discuss mailing list<br>
<a href="mailto:Discuss@lists.osgeo.org" target="_blank">Discuss@lists.osgeo.org</a><br>
<a href="https://lists.osgeo.org/mailman/listinfo/discuss" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailman/listinfo/discuss</a><br>
</blockquote></div></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div>--</div><div>Jody Garnett</div></div></div></div></div>