Dunia sumber terbuka sedang menyaksikan pemberontakan yang ketara apabila Nick Wellnhofer , penyelenggara libxml2 —salah satu perpustakaan penghurai XML yang paling banyak digunakan—telah mengumumkan bahawa beliau tidak akan lagi menghormati embargo keselamatan atau menganggap pepijat keselamatan sebagai kes istimewa. Keputusan ini telah mencetuskan perdebatan sengit mengenai tanggungjawab korporat dan kemampanan infrastruktur sumber terbuka yang kritikal.
Libxml2 menjadi kuasa kepada segala-galanya daripada sistem pengendalian Apple hingga pelayar Chrome milik Google dan pelbagai produk Microsoft . Walaupun memainkan peranan kritikal dalam berbilion peranti di seluruh dunia, projek ini hanya menerima derma sebanyak 17,000 dolar Amerika Syarikat, dengan Google menyumbang 10,000 dolar Amerika Syarikat daripada jumlah keseluruhan tersebut. Kontras yang ketara antara penggunaan dan sokongan ini telah mendorong Wellnhofer ke tahap kesabarannya.
Status Pembiayaan Libxml2
- Jumlah derma yang diterima: $17,000 USD
- Sumbangan Google : $10,000 USD (derma sekali sahaja)
- Pengguna korporat utama: Apple , Google , Microsoft
- Status penyelenggaraan semasa: Penyelenggara sukarelawan tunggal berundur
Teater Keselamatan dan Eksploitasi Penyelidik
Titik akhir kesabaran datang apabila penyelidik keselamatan daripada Positive Technologies membanjiri projek dengan laporan kelemahan kecil, menuntut nombor CVE dan garis masa tampung tanpa menawarkan sebarang pembetulan. Para penyelidik ini nampaknya lebih berminat untuk mengisi resume mereka dengan penemuan kelemahan berbanding benar-benar meningkatkan keselamatan perisian. Komuniti semakin kecewa dengan apa yang dilihat ramai sebagai pertanian CVE —amalan mencari pepijat remeh dan melebih-lebihkan keterukan mereka untuk keuntungan profesional.
Ramai pembangun berpendapat bahawa sistem pelaporan keselamatan semasa telah menjadi tidak produktif. Kelemahan penafian perkhidmatan yang memerlukan syarat khusus dan tidak mungkin sedang dilayan dengan kecemasan yang sama seperti pelanggaran data kritikal. Ini mewujudkan bunyi bising yang besar yang menenggelamkan isu keselamatan yang benar-benar serius sambil membakar penyelenggara sukarelawan.
Perubahan Dasar Keselamatan
- Tiada lagi embargo keselamatan
- Semua pepijat keselamatan dianggap sebagai pepijat biasa
- Pendedahan awam serta-merta selepas laporan dibuat
- Tiada garis masa khas untuk pembetulan keselamatan
- Nombor CVE tidak disediakan oleh penyelenggara
Parasitisme Korporat Terdedah
Situasi ini mendedahkan corak yang membimbangkan di mana syarikat bernilai trilion dolar membina produk mereka atas perisian percuma tetapi hampir tidak menyumbang apa-apa kembali untuk penyelenggaraan. Apple , Google , dan Microsoft semuanya sangat bergantung pada libxml2 , namun tiada yang memberikan sokongan berterusan yang bermakna untuk pembangunannya. Apabila isu keselamatan timbul, syarikat-syarikat ini mengharapkan penyelenggara sukarelawan menggugurkan segala-galanya dan memberikan sokongan kecemasan percuma.
Tingkah laku syarikat-syarikat ini tidak bertanggungjawab. Walaupun mereka mendakwa sebaliknya, mereka tidak mengambil berat tentang keselamatan dan privasi pengguna mereka. Mereka hanya cuba membetulkan simptom.
Dinamik ini telah mewujudkan apa yang dipanggil oleh sesetengah pihak sebagai penguasaan kawal selia terhadap milik bersama, di mana syarikat mengenakan keperluan mereka ke atas projek sukarelawan tanpa sokongan timbal balik. Tekanan psikologi ke atas penyelenggara untuk mematuhi tuntutan korporat sering menghalang mereka daripada menetapkan sempadan yang sihat.
Penggunaan Korporat berbanding Sokongan
- Apple : Menggunakan libxml2 sebagai komponen teras OS, sumbangan upstream yang minimum
- Google : Menggunakan dalam Chrome dan produk lain, derma sekali sahaja $10,000
- Microsoft : Menggunakan dalam komponen OS di luar pelayar Edge
- Nilai pasaran gabungan: Trilion dolar
- Sokongan bermakna gabungan: Hampir tiada
Jalan Ke Hadapan
Penyelesaian Wellnhofer adalah radikal tetapi logik: layani semua pepijat secara sama rata dan terbitkan mereka serta-merta tanpa embargo. Pendekatan ini menghilangkan kecemasan buatan yang membolehkan penyelidik keselamatan dan syarikat mengeksploitasi buruh sukarelawan. Jika syarikat benar-benar memerlukan pembetulan keselamatan segera, mereka boleh sama ada menyumbang tampung sendiri atau mengupah penyelenggara sebagai perunding.
Respons komuniti sebahagian besarnya menyokong, dengan ramai mencadangkan agar projek menerima pakai dokumen terma penyelenggaraan formal yang menyatakan dengan jelas apa yang akan dan tidak akan dilakukan oleh penyelenggara. Ini akan memberikan pembangun kebenaran eksplisit untuk mengatakan tidak kepada tuntutan yang tidak munasabah tanpa berasa bersalah tentang kemungkinan membahayakan pengguna.
Implikasi untuk Sumber Terbuka
Kontroversi ini menyerlahkan krisis kemampanan asas dalam perisian sumber terbuka. Infrastruktur internet semakin bergantung pada projek yang diselenggara oleh sukarelawan yang tidak dibayar yang dijangka memberikan sokongan peringkat perusahaan. Tanpa perubahan ketara dalam cara syarikat melibatkan diri dengan projek sumber terbuka, lebih ramai penyelenggara mungkin mengikuti contoh Wellnhofer .
Situasi ini juga mendedahkan batasan lesen permisif seperti MIT , yang membenarkan penggunaan komersial tanpa had tanpa memerlukan sebarang sumbangan kembali kepada projek asal. Sesetengah pembangun sedang mempertimbangkan semula sama ada lesen yang lebih terhad mungkin dapat melindungi penyelenggara sukarelawan dengan lebih baik daripada eksploitasi.
Semasa cerita ini berkembang, ia mungkin berfungsi sebagai peringatan untuk industri teknologi untuk mempertimbangkan semula cara mereka melayan projek sumber terbuka yang membentuk asas pengkomputeran moden. Pilihannya jelas: sama ada sokong projek kritikal ini dengan betul atau berisiko kehilangan mereka sepenuhnya.