يقوم بعض المطورين بإفساد البرمجيات مفتوحة المصدر

من أكثر الأشياء المدهشة حول المصدر المفتوح أنه ينتج برامج رائعة. لقد وضع الكثير من المطورين غرورهم جانبًا لإنشاء برامج رائعة بمساعدة الآخرين. الآن ، ومع ذلك ، فإن حفنة من المبرمجين يضعون مخاوفهم قبل مصلحة البرامج مفتوحة المصدر العديدة والتي من المحتمل أن تدمر الجميع.

على سبيل المثال ، مدير حزم جافا سكريبت RIAEvangelist ، براندون نوزاكي ميلر ، كتب ونشر حزمة شفرة مصدر مفتوحة الشفرة npm تسمى peacenotwar. لم تفعل شيئًا سوى طباعة رسالة من أجل السلام على أجهزة الكمبيوتر المكتبية. حتى الآن ، غير مؤذية. 

قام ميلر بعد ذلك بإدخال رمز خبيث في الحزمة للكتابة فوق أنظمة ملفات المستخدمين إذا كان جهاز الكمبيوتر الخاص بهم يحتوي على عنوان IP خاص بروسيا أو بيلاروسيا. ثم أضافها تبعية لشعبيته عقدة IPC برنامج وفوضى فورية! تعطلت العديد من الخوادم وأجهزة الكمبيوتر أثناء تحديثها إلى أحدث رمز ثم تم مسح محركات الأقراص الخاصة بأنظمتها. 

دفاع ميلر ، "كل هذا عام وموثق ومرخص ومفتوح المصدر، "لا تصمد. 

ليران تل ، ال سنيك قال الباحث الذي كشف المشكلة: "حتى لو اعتبر البعض الفعل المتعمد والخطير عمل احتجاجي مشروع ، كيف ينعكس ذلك على سمعة المشرف المستقبلية وحصة في مجتمع المطورين؟ هل سيتم الوثوق بهذا المشرف مرة أخرى لعدم متابعة الأعمال المستقبلية في مثل هذه الإجراءات أو حتى الإجراءات الأكثر عدوانية لأي مشروع يشاركون فيه؟ " 

ميلر ليس كرنك عشوائي. لقد أنتج الكثير من الشفرات الجيدة ، مثل node-ipc و عقدة خادم HTTP. ولكن ، هل يمكنك الوثوق في أن أيًا من التعليمات البرمجية الخاصة به لن يكون ضارًا؟ بينما يصفها بأنها "ليست برمجيات خبيثة ، [لكن] بروتستواري موثقة بالكامل"،" الآخرون يختلفون بشدة. 

كما كتب أحد مبرمجي GitHub ، "ما سيحدث مع هذا هو أن فرق الأمن في الشركات الغربية التي لا علاقة لها على الإطلاق بروسيا أو السياسة ستبدأ في رؤية برمجيات مجانية ومفتوحة المصدر كوسيلة لهجمات سلسلة التوريد (وهذا هو تمامًا) وابدأ ببساطة في حظر البرامج المجانية ومفتوحة المصدر - جميع البرامج المجانية ومفتوحة المصدر - داخل شركاتهم ". 

كما كتب مطور GitHub آخر بالمقبض nm17 ، "The عامل الثقة من المصدر المفتوح، الذي كان يعتمد على حسن نية المطورين ، انتهى الآن عمليًا ، والآن ، يدرك المزيد والمزيد من الناس أنه في يوم من الأيام ، يمكن استغلال مكتبتهم / تطبيقهم للقيام / قول أي شيء يعتقده أحد المطورين العشوائيين على الإنترنت ' كان الشيء الصحيح الذي يجب عليهم فعله ".

كلاهما يقدم نقاط صحيحة. عندما لا يمكنك استخدام الكود المصدري إلا إذا كنت توافق على الموقف السياسي لصانعها ، فكيف يمكنك استخدامها بثقة؟ 

قد يكون قلب ميلر في المكان المناسب - سلافا أوكرايني! - ولكن هل البرامج مفتوحة المصدر المصابة بحمولات ضارة هي الطريقة الصحيحة لحماية الغزو الروسي لأوكرانيا؟ لا ليس كذلك. 

طريقة المصدر المفتوح تعمل فقط لأننا نثق في بعضنا البعض. عندما يتم كسر هذه الثقة ، بغض النظر عن السبب ، يتم كسر الإطار الأساسي للمصدر المفتوح. كما قال Greg Kroah-Hartman ، مشرف صيانة Linux kernel للفرع المستقر ، عندما حاول طلاب من جامعة مينيسوتا عمدًا إدخال رمز تالف في نواة Linux لإجراء تجربة في عام 2021 ، "ما يفعلونه هو سلوك ضار متعمد و أمر غير مقبول وغير أخلاقي تمامًا ".

لطالما جادل الناس بأن المصدر المفتوح يجب أن يتضمن أحكامًا أخلاقية أيضًا. على سبيل المثال ، عام 2009 استثناء الرخصة العامة العامة (eGPL)، مراجعة GPLv2، حاولت منع "الاستثناءات" ، مثل المستخدمين العسكريين والموردين ، من استخدام الكود الخاص بها. فشلت. التراخيص الأخرى مثل ترخيص JSON مع بند ساذجته اللطيف "يجب استخدام البرنامج من أجل الخير وليس الشر" لا يزال موجودًا ، ولكن لا أحد يفرضه.  

في الآونة الأخيرة ، قدمت الناشطة ومطور البرمجيات كورالين أدا إهمكي رخصة مفتوحة المصدر تتطلب من مستخدميها التصرف بشكل أخلاقي. على وجه التحديد ، هي رخصة أبقراط إضافة إلى معهد ماساتشوستس للتكنولوجيا رخصة مفتوحة المصدر شرط ينص على: 

"لا يجوز استخدام البرنامج من قِبل الأفراد أو الشركات أو الحكومات أو المجموعات الأخرى للأنظمة أو الأنشطة التي تعرض للخطر أو تضر أو ​​تهدد بخلاف ذلك الرفاهية البدنية أو العقلية أو الاقتصادية أو العامة للأشخاص المحرومين أو الجماعات في انتهاك لإعلان الأمم المتحدة العالمي لحقوق الإنسان ".

يبدو جيدًا ، لكنه ليس مفتوح المصدر. كما ترى ، المصدر المفتوح هو في حد ذاته موقف أخلاقي. وترد أخلاقياتها في مؤسسة البرمجيات الحرة (FSF)الصورة أربع حريات أساسية. هذا هو الأساس لجميع التراخيص مفتوحة المصدر وفلسفتها الأساسية. بصفته خبيرًا قانونيًا مفتوح المصدر وأستاذ قانون كولومبيا إيبين موغلين ، قال في ذلك الوقت إن التراخيص الأخلاقية لا يمكن أن تكون برمجيات مجانية أو تراخيص مفتوحة المصدر: 

"الحرية صفر، الحق في تشغيل البرنامج لأي غرض ، يأتي أولاً في الحريات الأربع لأنه إذا لم يكن لدى المستخدمين هذا الحق فيما يتعلق ببرامج الكمبيوتر التي يقومون بتشغيلها ، فلن يكون لديهم في النهاية أي حقوق في تلك البرامج على الإطلاق. الجهود المبذولة لمنح الإذن فقط للاستخدامات الجيدة ، أو لحظر الاستخدامات السيئة في نظر المرخص ، تنتهك مطلب حماية الحرية صفر ". 

بمعنى آخر ، إذا لم تتمكن من مشاركة الكود الخاص بك لأي سبب ، فإن شفرتك ليست مفتوحة المصدر حقًا. 

حجة أخرى أكثر واقعية حول منع مجموعة واحدة من استخدام برمجيات مفتوحة المصدر هي أن الحظر على شيء مثل عنوان IP هو فرشاة واسعة للغاية. بصفتنا فلوريان روث ، شركة أمنية أنظمة نيكسترون"رئيس قسم الأبحاث ، الذي اعتبر"تعطيل أدواتي المجانية على الأنظمة مع إعدادات معينة للغة والمنطقة الزمنية "، قررت أخيرًا عدم القيام بذلك. لماذا ا؟ لأنه من خلال القيام بذلك ، "سنقوم أيضًا بتعطيل الأدوات الموجودة على أنظمة النقاد والمفكرين الأحرار التي تدين تصرفات حكوماتهم ". 

لسوء الحظ ، لا يقتصر الأمر على الأشخاص الذين يحاولون استخدام المصدر المفتوح لما يرونه غرضًا أخلاقيًا أسمى هو ما يسبب المتاعب للبرامج مفتوحة المصدر. 

في وقت سابق من هذا العام ، قام مطور جافا سكريبت Marak Squires بتخريب موقعه الغامض ، ولكنه مهم للغاية ومكتبات Javascript مفتوحة المصدر و colours.js و "faker.js". النتائج؟ انفجرت عشرات الآلاف من برامج JavaScript.

لماذا ا؟ لا يزال الأمر غير واضح تمامًا ، ولكن في منشور GitHub الذي تم حذفه منذ ذلك الحين ، كتب سكويرز ، "بكل احترام ، لن أدعم Fortune 500s بعد الآن (وشركات أخرى أصغر حجمًا) مع عملي المجاني. ليس هناك الكثير ليقوله. اغتنم هذه فرصة لإرسال عقد سنوي من ستة أرقام إليّ أو تفرغ من المشروع وإشراك شخص آخر في العمل عليه ". كما قد تتخيل ، فإن هذه المحاولة للابتزاز في طريقه للحصول على راتب لم تنجح بشكل جيد بالنسبة له. 

ثم هناك أشخاص يقومون عن عمد بوضع برامج ضارة في التعليمات البرمجية مفتوحة المصدر الخاصة بهم من أجل المتعة والربح. على سبيل المثال ، شركة الأمن DevOps جفروج اكتشف 17 حزمة خبيثة جديدة من JavaScript في مستودع NPM والتي تهاجم عن عمد رموز Discord الخاصة بالمستخدم وتسرقها. يمكن بعد ذلك استخدامها على الاتصالات الخلاف ومنصة التوزيع الرقمي.

إلى جانب إنشاء برامج خبيثة جديدة مفتوحة المصدر تبدو بريئة ومفيدة ، يأخذ المهاجمون الآخرون برامج قديمة مهجورة ويعيدون كتابتها لتشمل سرقة العملات المشفرة في الأبواب الخلفية. كان أحد هذه البرامج هو تدفق الأحداث. تم إدخال رمز خبيث فيه لسرقة محافظ البيتكوين ونقل أرصدتها إلى خادم كوالالمبور. كانت هناك عدة حلقات مماثلة على مر السنين.

مع كل خطوة من هذا القبيل ، يتلاشى الإيمان ببرمجيات المصدر المفتوح. نظرًا لأن المصدر المفتوح أمر حيوي للغاية للعالم الحديث ، فهذا اتجاه رديء. 

مالذي يمكننا فعله حيال هذا؟ حسنًا ، لسبب واحد ، يجب أن نفكر جيدًا في الوقت الذي يجب فيه ، إذا حدث ذلك ، حظر استخدام التعليمات البرمجية مفتوحة المصدر. 

من الناحية العملية ، يجب أن نبدأ في تبني استخدام مؤسسة لينكس تبادل بيانات حزمة البرامج (SPDX) و قائمة مواد البرمجيات (SBOM). ستخبرنا هذه معًا بالضبط الكود الذي نستخدمه في برامجنا ومن أين أتت. بعد ذلك ، سنكون أكثر قدرة على اتخاذ قرارات مستنيرة.

اليوم ، يستخدم الأشخاص من جميع أنحاء العالم تعليمات برمجية مفتوحة المصدر دون أن يعرفوا بالضبط ما الذي يقومون بتشغيله أو التحقق من وجود مشاكل فيه. يفترضون أن كل شيء على ما يرام معها. لم يكن هذا افتراضًا ذكيًا أبدًا. اليوم ، من الغباء بصراحة. 

حتى مع كل هذه التغييرات الأخيرة ، لا يزال المصدر المفتوح أفضل وأكثر أمانًا من بدائل البرمجيات الاحتكارية من الصندوق الأسود. ولكن ، يجب علينا التحقق من الشفرة والتحقق منها بدلاً من الوثوق بها بشكل أعمى. إنه الشيء الذكي الوحيد الذي يجب فعله للمضي قدمًا.

قصص ذات الصلة: