Šta se desilo ovih poslednjih dana sa XZ Utils i FFmpeg stvara veliku zabrinutost za budućnost slobodnog softvera. Shvaćam da naslov zvuči kao mamac za klikove, ali moja namjera nije da budem apokaliptičan ili generiram posjete, već da ukažem na činjenicu koja izaziva zabrinutost kod mnogih posmatrača.
Richard Stallman je sjajan programer, ali poznavanje ljudske prirode nije njegova stvar. Pokret slobodnog softvera zahteva dobru volju većine učesnika i čini se da to nedostaje.
Ne krivim Stallmana što je bio uspješan. Ali, verovatno da je Fondaciju za slobodni softver vodio neko ko je bolje znao kako industrija funkcioniše, verovatno bi se mogle preduzeti mere predostrožnosti da se izbegnu ove situacije.
O XZ Utils-u i FFmpeg-u
Kao što smo rekli u gore spomenutom članku, XZ Utils je biblioteka kompresije koju većina Linux distribucija obično uključuje. Pošto je glavni programer bio iscrpljen, predao je inicijativu drugom programeru koji se naziva Jian Tao. Programer je otkrio da je Jian Tao uključio kod koji bi mogao olakšati neovlašteni pristup pod određenim okolnostima. Kasnije istrage su pokazale da je on to već pokušao da uradi u drugom projektu.
FFmpeg je biblioteka otvorenog koda za snimanje, uređivanje i transkodiranje multimedijalnog sadržaja.
u račun sa društvene mreže X projekta objavljeno je:
Fijasko xz pokazao je kako oslanjanje na neplaćene volontere može uzrokovati velike probleme. Kompanije vrijedne milijarde dolara očekuju besplatnu i hitnu podršku od volontera.
@Microsoft @MicrosoftTeams je objavio na volonterskom programu za praćenje grešaka da je njihov problem "visok prioritet"
Nakon što su ljubazno zatražili ugovor o podršci od Microsofta za dugoročno održavanje, umjesto toga su ponudili jednokratnu uplatu od nekoliko hiljada dolara.Ovo je neprihvatljivo.
Ovo nije prvi put da volonter stvara sigurnosni problem.
Heartbleed je bio ozbiljan sigurnosni problem za OpenSSL biblioteku otvorenog koda. Ovo je bila ranjivost koja je omogućavala napadačima da čitaju memoriju servera ili klijenta, pristupajući povjerljivim informacijama. pohranjeni u memoriji, kao što su serverski SSL privatni ključevi.
Ranjivost je uvedena u patch koji je volonter postavio sat prije nove godine. Tada se nije sumnjalo na zlonamjernu namjeru.
Porijeklo problema
U prve dvije decenije ovog stoljeća došlo je do promjene u poslovnom modelu tehnoloških kompanija specijalizovanih za rješenja za velike kompanije i organizacije. Tradicionalno Zasnovala se na prodaji fizičkih proizvoda. Ovo su kombinovana hardverska i softverska rešenja koja se prodaju na fizičkim medijima.
Širenjem interneta i popularizacijom oblaka, osovina profitabilnosti se pomjerila sa prodaje fizičkih proizvoda na pružanje usluga. Kompanije kao što su IBM, Red Hat, Oracle i kasnije Ubuntu izgradile su posao baziran na Linuxu i drugim proizvodima otvorenog koda tako što su naplaćivali tehničku podršku. S vremenom je i sam Microsoft morao dodati podršku za ove projekte svojoj vlastitoj platformi u oblaku.
Problem je u tome što mnoge od ovih kompanija imaju koristi od besplatnog softvera otvorenog koda, ali ne doprinose. I moje kolege i ja pratili smo vijesti o nekoliko projekata koji su promijenili licencu jer ih koriste za zaradu organizacije koje ništa ne vraćaju.
Ta kombinacija iscrpljenih programera, loše vjere, vladine špijunaže i pohlepe stvara opasan koktel što na kraju može dovesti do kraja pokreta slobodnog softvera kako zbog nedostatka volontera, tako i zbog gubitka njegovog kredibiliteta.
Kako to riješiti?
Mislim da bi trebalo napraviti promjenu u licencama i slobodnog i otvorenog koda softvera, prisiljavajući one koji ostvaruju ekonomsku korist da doprinose onim projektima od kojih imaju koristi.