કેટલાક વિકાસકર્તાઓ ઓપન-સોર્સ સોફ્ટવેરને ખરાબ કરી રહ્યાં છે

ઓપન-સોર્સ વિશેની સૌથી અદ્ભુત બાબતોમાંની એક એ નથી કે તે મહાન સૉફ્ટવેરનું ઉત્પાદન કરે છે. તે એ છે કે ઘણા વિકાસકર્તાઓ અન્યની મદદથી મહાન પ્રોગ્રામ્સ બનાવવા માટે તેમના અહંકારને બાજુ પર મૂકી દે છે. જો કે, હવે, મુઠ્ઠીભર પ્રોગ્રામરો તેમની પોતાની ચિંતાઓને ઘણા લોકોના સારા અને સંભવિત રૂપે દરેક માટે ઓપન-સોર્સ સોફ્ટવેરને નષ્ટ કરતા આગળ મૂકી રહ્યા છે.

ઉદાહરણ તરીકે, JavaScript ના પેકેજ મેનેજર જાળવણીકાર RIAEvangelist, બ્રાન્ડોન નોઝાકી મિલર, પીસનોટવાર નામનું ઓપન-કોડ npm સોર્સ-કોડ પેકેજ લખ્યું અને પ્રકાશિત કર્યું. તેણે ડેસ્કટોપ પર શાંતિ માટેનો સંદેશો છાપ્યો. અત્યાર સુધી, તેથી હાનિકારક. 

જો તેમના કમ્પ્યુટરમાં રશિયા અથવા બેલારુસનું IP સરનામું હોય તો મિલરે પછી વપરાશકર્તાઓની ફાઇલસિસ્ટમ પર ફરીથી લખવા માટે પેકેજમાં દૂષિત કોડ દાખલ કર્યો. ત્યારપછી તેણે તેને તેના લોકપ્રિયમાં નિર્ભરતા તરીકે ઉમેર્યું નોડ-આઈપીસી કાર્યક્રમ અને ત્વરિત અરાજકતા! અસંખ્ય સર્વર્સ અને પીસી ડાઉન થઈ ગયા કારણ કે તેઓ નવા કોડમાં અપડેટ થયા અને પછી તેમની સિસ્ટમોએ તેમની ડ્રાઈવો ભૂંસી નાખી. 

મિલરનો બચાવ, “આ બધું સાર્વજનિક, દસ્તાવેજીકૃત, લાઇસન્સ અને ઓપન સોર્સ છે,” પકડી નથી. 

લીરાન તાલ, ધ Snyk આ સમસ્યાનો પર્દાફાશ કરનાર સંશોધકે કહ્યું, "જો ઇરાદાપૂર્વક અને ખતરનાક કૃત્યને કેટલાક લોકો વિરોધના કાયદેસરના કૃત્ય તરીકે સમજતા હોય તો પણ, તે જાળવણી કરનારની ભાવિ પ્રતિષ્ઠાને કેવી રીતે પ્રતિબિંબિત કરે છે અને વિકાસકર્તા સમુદાયમાં હિસ્સો? શું આ જાળવણી કરનારને તેઓ ભાગ લેનાર કોઈપણ પ્રોજેક્ટ માટે આવા અથવા વધુ આક્રમક કાર્યોમાં ભવિષ્યના કૃત્યો પર ફોલોઅપ ન કરવા માટે ફરીથી ભરોસાપાત્ર રહેશે?" 

મિલર રેન્ડમ ક્રેન્ક નથી. તેણે ઘણા સારા કોડ બનાવ્યા છે, જેમ કે નોડ-આઈપીસી, અને નોડ HTTP સર્વર. પરંતુ, શું તમે દૂષિત ન હોવા માટે તેના કોઈપણ કોડ પર વિશ્વાસ કરી શકો છો? જ્યારે તે તેનું વર્ણન કરે છે "માલવેર નથી, [પરંતુ] પ્રોટેસ્ટવેર જે સંપૂર્ણ રીતે દસ્તાવેજીકૃત છે"અન્ય ઝેરી રીતે અસંમત છે. 

જેમ કે એક GitHub પ્રોગ્રામરે લખ્યું છે, "આની સાથે શું થવાનું છે તે એ છે કે પશ્ચિમી કોર્પોરેશનોમાં સુરક્ષા ટીમો કે જેને રશિયા અથવા રાજકારણ સાથે કોઈ લેવાદેવા નથી તે જોવાનું શરૂ કરશે. સપ્લાય ચેઇન હુમલાઓ માટે એક માર્ગ તરીકે મફત અને ઓપન સોર્સ સોફ્ટવેર (જે આ સંપૂર્ણ રીતે છે) અને તેમની કંપનીઓમાં ફ્રી અને ઓપન સોર્સ સોફ્ટવેર - તમામ ફ્રી અને ઓપન સોર્સ સોફ્ટવેર - પર પ્રતિબંધ મૂકવાનું શરૂ કરો." 

હેન્ડલ nm17 સાથે અન્ય GitHub ડેવલપરે લખ્યું છે, “The ઓપન સોર્સનું ટ્રસ્ટ ફેક્ટર, જે વિકાસકર્તાઓની સારી ઇચ્છા પર આધારિત હતું તે હવે વ્યવહારીક રીતે દૂર થઈ ગયું છે, અને હવે, વધુને વધુ લોકો એ અનુભવી રહ્યા છે કે એક દિવસ, તેમની લાઇબ્રેરી/એપ્લિકેશનનો ઉપયોગ સંભવતઃ ઇન્ટરનેટ પરના કેટલાક રેન્ડમ ડેવને ગમે તે કરવા/કહેવા માટે કરી શકાય છે' તેઓએ જે કરવું તે યોગ્ય હતું.''

બંને માન્ય પોઈન્ટ બનાવે છે. જ્યારે તમે સ્ત્રોત કોડનો ઉપયોગ કરી શકતા નથી જ્યાં સુધી તમે તેના નિર્માતાના રાજકીય વલણ સાથે સહમત ન હો, તો તમે વિશ્વાસ સાથે તેનો ઉપયોગ કેવી રીતે કરી શકો? 

મિલરનું હૃદય યોગ્ય સ્થાને હોઈ શકે છે — સ્લાવા યુક્રેન! — પરંતુ શું દૂષિત પેલોડથી ચેપગ્રસ્ત ઓપન-સોર્સ સોફ્ટવેર એ રશિયાના યુક્રેન પરના આક્રમણને બચાવવાનો યોગ્ય માર્ગ છે? ના તે નથી. 

ઓપન-સોર્સ પદ્ધતિ માત્ર કામ કરે છે કારણ કે અમે એકબીજા પર વિશ્વાસ કરીએ છીએ. જ્યારે તે વિશ્વાસ તૂટે છે, પછી ભલે ગમે તે કારણસર હોય, તો ઓપન સોર્સનું મૂળભૂત માળખું તૂટી જાય છે. જેમ કે સ્થિર શાખા માટે લિનક્સ કર્નલ જાળવણી કરનાર ગ્રેગ ક્રોહ-હાર્ટમેને જણાવ્યું હતું કે જ્યારે મિનેસોટા યુનિવર્સિટીના વિદ્યાર્થીઓએ 2021માં એક પ્રયોગ માટે લિનક્સ કર્નલમાં ઇરાદાપૂર્વક ખરાબ કોડ દાખલ કરવાનો પ્રયાસ કર્યો ત્યારે કહ્યું, “તેઓ જે કરી રહ્યા છે તે ઇરાદાપૂર્વક દૂષિત વર્તન છે અને સ્વીકાર્ય નથી અને સંપૂર્ણપણે અનૈતિક છે.

લોકો લાંબા સમયથી દલીલ કરે છે કે ઓપન-સોર્સમાં નૈતિક જોગવાઈઓનો પણ સમાવેશ થવો જોઈએ. ઉદાહરણ તરીકે, 2009 અપવાદ જનરલ પબ્લિક લાઇસન્સ (eGPL), નું પુનરાવર્તન જીપીએલવીએક્સએક્સએક્સ, "અપવાદો" જેમ કે લશ્કરી વપરાશકર્તાઓ અને સપ્લાયર્સ, તેના કોડનો ઉપયોગ કરવાથી મનાઈ કરવાનો પ્રયાસ કર્યો. તે નિષ્ફળ ગયો. અન્ય લાઇસન્સ જેમ કે JSON લાઇસન્સ તેના મધુર નિષ્કપટ સાથે "સોફ્ટવેરનો ઉપયોગ સારા માટે થશે, ખરાબ માટે નહીં" કલમ હજુ પણ આસપાસ છે, પરંતુ કોઈ તેનો અમલ કરતું નથી.  

તાજેતરમાં જ, કાર્યકર્તા અને સોફ્ટવેર ડેવલપર કોરાલિન એડા એહમકે એક ઓપન સોર્સ લાયસન્સ રજૂ કર્યું છે જેમાં તેના વપરાશકર્તાઓને નૈતિક રીતે કાર્ય કરવાની જરૂર છે. ખાસ કરીને, તેણીના હિપોક્રેટિક લાઇસન્સ માં ઉમેર્યું MIT ઓપન સોર્સ લાઇસન્સ એક કલમ જણાવે છે: 

“સોફ્ટવેરનો ઉપયોગ વ્યક્તિઓ, કોર્પોરેશનો, સરકારો અથવા અન્ય જૂથો દ્વારા સિસ્ટમ અથવા પ્રવૃત્તિઓ માટે થઈ શકશે નહીં જે સક્રિયપણે અને જાણી જોઈને જોખમમાં મૂકે છે, નુકસાન પહોંચાડે છે અથવા અન્યથા વંચિત વ્યક્તિઓ અથવા જૂથોની શારીરિક, માનસિક, આર્થિક અથવા સામાન્ય સુખાકારીને જોખમમાં મૂકે છે. યુનાઈટેડ નેશન્સ યુનિવર્સલ ડિક્લેરેશન ઓફ હ્યુમન રાઈટ્સનું ઉલ્લંઘન.

સારું લાગે છે, પરંતુ તે ઓપન સોર્સ નથી. તમે જુઓ, ઓપન સોર્સ એ એક નૈતિક સ્થિતિ છે. તેની નીતિશાસ્ત્રમાં સમાયેલ છે ફ્રી સોફ્ટવેર ફાઉન્ડેશન (FSF)'ઓ ચાર આવશ્યક સ્વતંત્રતાઓ. આ તમામ ઓપન-સોર્સ લાઇસન્સ અને તેમની મુખ્ય ફિલસૂફીનો પાયો છે. ઓપન સોર્સ કાનૂની નિષ્ણાત અને કોલંબિયા કાયદાના પ્રોફેસર એબેન મોગલેન તરીકે, તે સમયે કહ્યું હતું કે નૈતિક લાઇસન્સ મફત સૉફ્ટવેર અથવા ઓપન-સોર્સ લાઇસન્સ હોઈ શકતા નથી: 

"સ્વતંત્રતા શૂન્ય, કોઈપણ હેતુ માટે પ્રોગ્રામ ચલાવવાનો અધિકાર, ચાર સ્વતંત્રતાઓમાં પ્રથમ આવે છે કારણ કે જો વપરાશકર્તાઓને તેઓ ચલાવતા કમ્પ્યુટર પ્રોગ્રામ્સના સંદર્ભમાં તે અધિકાર નથી, તો આખરે તેઓને તે પ્રોગ્રામ્સમાં કોઈ અધિકાર નથી. માત્ર સારા ઉપયોગો માટે પરવાનગી આપવાના પ્રયાસો, અથવા લાયસન્સરની નજરમાં ખરાબને પ્રતિબંધિત કરવાના પ્રયાસો, સ્વતંત્રતા શૂન્યને સુરક્ષિત રાખવાની જરૂરિયાતનું ઉલ્લંઘન કરે છે. 

બીજા શબ્દોમાં કહીએ તો, જો તમે કોઈપણ કારણોસર તમારો કોડ શેર કરી શકતા નથી, તો તમારો કોડ ખરેખર ઓપન-સોર્સ નથી. 

એક જૂથને ઓપન-સોર્સ સોફ્ટવેરનો ઉપયોગ કરવાથી પ્રતિબંધિત કરવા વિશે અન્ય વધુ વ્યવહારિક દલીલ એ છે કે IP એડ્રેસ જેવી કોઈ વસ્તુ પર અવરોધિત કરવું એ ખૂબ વ્યાપક બ્રશ છે. ફ્લોરિયન રોથ તરીકે, સુરક્ષા કંપની નેક્સ્ટ્રોન સિસ્ટમ્સસંશોધનના વડા, જેમણે "સિસ્ટમો પર મારા મફત સાધનોને અક્ષમ કરી રહ્યા છીએ ચોક્કસ ભાષા અને ટાઈમ ઝોન સેટિંગ્સ સાથે,” આખરે ન કરવાનું નક્કી કર્યું. શા માટે? કારણ કે આમ કરવાથી, "અમે વિવેચકો અને ફ્રીથિંકર્સની સિસ્ટમ્સ પરના સાધનોને પણ અક્ષમ કરીશું જે તેમની સરકારના કાર્યોની નિંદા કરે છે.” 

કમનસીબે, તે માત્ર એવા લોકો નથી કે જેઓ ઓપન સોર્સનો ઉપયોગ તેઓને ઉચ્ચ નૈતિક ઉદ્દેશ્ય તરીકે જુએ છે જે ઓપન-સોર્સ સૉફ્ટવેર માટે મુશ્કેલી ઊભી કરે છે. 

આ વર્ષની શરૂઆતમાં, જાવાસ્ક્રિપ્ટ ડેવલપર મારક સ્ક્વાયર્સે જાણીજોઈને તેની અસ્પષ્ટ, પરંતુ મહત્વપૂર્ણ ઓપન-સોર્સ જાવાસ્ક્રિપ્ટ લાઇબ્રેરીઓ 'colors.js' અને 'faker.js'ને તોડફોડ કરી હતી. પરિણામ? હજારો જાવાસ્ક્રિપ્ટ પ્રોગ્રામ્સ ઉડી ગયા.

શા માટે? તે હજુ પણ સંપૂર્ણપણે સ્પષ્ટ નથી, પરંતુ ત્યારથી કાઢી નાખવામાં આવેલી GitHub પોસ્ટમાં, Squiresએ લખ્યું, "આદરપૂર્વક, હું હવે Fortune 500s ને સમર્થન આપવાનો નથી (અને અન્ય નાની-કદની કંપનીઓ) મારા મફત કામ સાથે. બીજું ઘણું કહેવાનું નથી. મને છ આંકડાનો વાર્ષિક કોન્ટ્રાક્ટ મોકલવાની તક તરીકે લો અથવા પ્રોજેક્ટને ફોર્ક કરો અને બીજા કોઈને તેના પર કામ કરાવો. જેમ તમે કલ્પના કરી શકો છો, પેચેક માટે તેના માર્ગને બ્લેકમેલ કરવાનો આ પ્રયાસ તેના માટે એટલો સારો ન હતો. 

અને, પછી એવા લોકો છે કે જેઓ આનંદ અને નફા માટે તેમના ઓપન-સોર્સ કોડમાં જાણીજોઈને માલવેર મૂકે છે. ઉદાહરણ તરીકે, DevOps સુરક્ષા પેઢી જેફ્રોગ NPM રિપોઝીટરીમાં 17 નવા JavaScript દૂષિત પેકેજો શોધ્યા જે જાણીજોઈને વપરાશકર્તાના ડિસ્કોર્ડ ટોકન્સ પર હુમલો કરે છે અને ચોરી કરે છે. આ પછી પર વાપરી શકાય છે ડિસ્કોર્ડ સંચાર અને ડિજિટલ વિતરણ પ્લેટફોર્મ.

નિર્દોષ અને મદદરૂપ દેખાતા નવા દૂષિત ઓપન-સોર્સ પ્રોગ્રામ્સ બનાવવા ઉપરાંત, અન્ય હુમલાખોરો જૂના, ત્યજી દેવાયેલા સોફ્ટવેર લઈ રહ્યા છે અને ક્રિપ્ટો કોઈન ચોરી કરતા બેકડોરનો સમાવેશ કરવા માટે તેમને ફરીથી લખી રહ્યા છે. આવો જ એક કાર્યક્રમ ઇવેન્ટ-સ્ટ્રીમ હતો. તેમાં બિટકોઈન વોલેટની ચોરી કરવા અને તેમના બેલેન્સને કુઆલાલંપુર સર્વરમાં ટ્રાન્સફર કરવા માટે તેમાં દૂષિત કોડ દાખલ કરવામાં આવ્યો હતો. વર્ષોથી ઘણા સમાન એપિસોડ આવ્યા છે.

આવી દરેક ચાલ સાથે, ઓપન-સોર્સ સોફ્ટવેરમાંનો વિશ્વાસ ઘટી જાય છે. આધુનિક વિશ્વ માટે ઓપન સોર્સ એકદમ જરૂરી હોવાથી, આ એક ખરાબ વલણ છે. 

આપણે તેના વિશે શું કરી શકીએ? ઠીક છે, એક વસ્તુ માટે, આપણે ખરેખર ખૂબ જ કાળજીપૂર્વક વિચારવું જોઈએ કે, જો ક્યારેય, આપણે ઓપન-સોર્સ કોડનો ઉપયોગ અવરોધિત કરવો જોઈએ. 

વધુ વ્યવહારુ રીતે, આપણે નો ઉપયોગ અપનાવવાનું શરૂ કરવું જોઈએ Linux ફાઉન્ડેશનની સોફ્ટવેર પેકેજ ડેટા એક્સચેન્જ (SPDX) અને સૉફ્ટવેર બિલ ઑફ મટિરિયલ્સ (SBOM). આ એકસાથે અમને જણાવશે કે અમે અમારા પ્રોગ્રામ્સમાં કયો કોડ વાપરી રહ્યા છીએ અને તે ક્યાંથી આવે છે. પછી, અમે જાણકાર નિર્ણયો લેવામાં વધુ સક્ષમ થઈશું.

આજે, ઘણીવાર લોકો ઓપન-સોર્સ કોડનો ઉપયોગ કરે છે તે જાણ્યા વિના કે તેઓ શું ચલાવી રહ્યાં છે અથવા સમસ્યાઓ માટે તેને તપાસે છે. તેઓ માને છે કે તેની સાથે બધું સારું છે. તે ક્યારેય સ્માર્ટ ધારણા ન હતી. આજે, તે તદ્દન મૂર્ખ છે. 

આ તમામ તાજેતરના ફેરફારો સાથે પણ, ઓપન-સોર્સ હજુ પણ બ્લેક-બોક્સ માલિકીના સોફ્ટવેર વિકલ્પો કરતાં વધુ સારું અને સુરક્ષિત છે. પરંતુ, આપણે કોડ પર આંધળો વિશ્વાસ કરવાને બદલે તેની ચકાસણી અને ચકાસણી કરવી જોઈએ. આગળ જવા માટે તે એકમાત્ર સ્માર્ટ વસ્તુ છે.

સંબંધિત વાર્તાઓ: