कुछ डेवलपर ओपन-सोर्स सॉफ़्टवेयर को खराब कर रहे हैं

ओपन-सोर्स के बारे में सबसे आश्चर्यजनक चीजों में से एक यह नहीं है कि यह बढ़िया सॉफ्टवेयर तैयार करता है। यह है कि इतने सारे डेवलपर्स दूसरों की मदद से महान कार्यक्रम बनाने के लिए अपने अहंकार को एक तरफ रख देते हैं। अब, हालांकि, मुट्ठी भर प्रोग्रामर अपनी चिंताओं को कई लोगों की भलाई के आगे रख रहे हैं और संभावित रूप से सभी के लिए ओपन-सोर्स सॉफ़्टवेयर को बर्बाद कर रहे हैं।

उदाहरण के लिए, जावास्क्रिप्ट के पैकेज मैनेजर मेंटेनर RIAEvangelist, ब्रैंडन नोज़ाकी मिलर, एक ओपन-कोड एनपीएम सोर्स-कोड पैकेज लिखा और प्रकाशित किया, जिसे पीसनोटवार कहा जाता है. इसने बहुत कम किया लेकिन डेस्कटॉप पर शांति के लिए एक संदेश छापा। अब तक, इतना हानिरहित। 

फिर मिलर ने उपयोगकर्ताओं के फाइल सिस्टम को अधिलेखित करने के लिए पैकेज में दुर्भावनापूर्ण कोड डाला, यदि उनके कंप्यूटर में रूस या बेलारूस आईपी पता था। फिर उन्होंने इसे अपने लोकप्रिय पर निर्भरता के रूप में जोड़ा नोड-आईपीसी कार्यक्रम और तत्काल अराजकता! नवीनतम कोड में अपडेट होते ही कई सर्वर और पीसी डाउन हो गए और फिर उनके सिस्टम ने अपनी ड्राइव मिटा दी। 

मिलर की रक्षा, "यह सब सार्वजनिक, प्रलेखित, लाइसेंसीकृत और खुला स्रोत है," रुकता नहीं है। 

लिरान ताल, संन्यासी समस्या को उजागर करने वाले शोधकर्ता ने कहा, "भले ही जानबूझकर और खतरनाक कार्य [है] कुछ लोगों द्वारा विरोध के वैध कार्य के रूप में माना जाता है, यह अनुरक्षक की भविष्य की प्रतिष्ठा को कैसे दर्शाता है और डेवलपर समुदाय में हिस्सेदारी? क्या इस अनुरक्षक पर फिर से भरोसा किया जाएगा कि वे भविष्य में इस तरह के या इससे भी अधिक आक्रामक कार्यों में भाग लेने वाली किसी भी परियोजना के लिए अनुवर्ती कार्रवाई न करें? ” 

मिलर एक यादृच्छिक क्रैंक नहीं है। उन्होंने बहुत सारे अच्छे कोड तैयार किए हैं, जैसे कि नोड-आईपीसी, और नोड HTTP सर्वर. लेकिन, क्या आप उसके किसी कोड पर दुर्भावनापूर्ण नहीं होने पर भरोसा कर सकते हैं? जबकि वह इसका वर्णन "मैलवेयर नहीं, [लेकिन] प्रोटेस्टवेयर जो पूरी तरह से प्रलेखित है, "अन्य लोग विषैला रूप से असहमत हैं। 

जैसा कि एक गिटहब प्रोग्रामर ने लिखा है, "इससे क्या होने जा रहा है कि पश्चिमी निगमों में सुरक्षा दल जिनका रूस या राजनीति से कोई लेना-देना नहीं है, वे देखना शुरू करने जा रहे हैं आपूर्ति श्रृंखला हमलों के लिए एक अवसर के रूप में मुक्त और मुक्त स्रोत सॉफ्टवेयर (जो यह पूरी तरह से है) और बस अपनी कंपनियों के भीतर फ्री और ओपन सोर्स सॉफ्टवेयर - सभी फ्री और ओपन सोर्स सॉफ्टवेयर पर प्रतिबंध लगाना शुरू करें।" 

जैसा कि nm17 हैंडल के साथ एक अन्य GitHub डेवलपर ने लिखा, "The ओपन सोर्स का ट्रस्ट फैक्टर, जो डेवलपर्स की अच्छी इच्छा पर आधारित था, अब व्यावहारिक रूप से गायब हो गया है, और अब, अधिक से अधिक लोग यह महसूस कर रहे हैं कि एक दिन, इंटरनेट पर कुछ यादृच्छिक देव जो कुछ भी सोचते हैं/कहने के लिए उनके पुस्तकालय/आवेदन का शोषण किया जा सकता है। उनके द्वारा किया गया सही काम था।'”

दोनों वैध अंक बनाते हैं। जब आप सोर्स कोड का उपयोग तब तक नहीं कर सकते जब तक कि आप इसके निर्माता के राजनीतिक रुख से सहमत नहीं हैं, आप इसे विश्वास के साथ कैसे उपयोग कर सकते हैं? 

मिलर का दिल सही जगह पर हो सकता है - स्लाव उक्रेनी! - लेकिन क्या दुर्भावनापूर्ण पेलोड से संक्रमित ओपन-सोर्स सॉफ़्टवेयर यूक्रेन पर रूस के आक्रमण की रक्षा करने का सही तरीका है? नहीं यह नहीं। 

ओपन-सोर्स विधि केवल इसलिए काम करती है क्योंकि हम एक दूसरे पर भरोसा करते हैं। जब वह भरोसा टूट जाता है, चाहे किसी भी कारण से, तो ओपन-सोर्स का मौलिक ढांचा टूट जाता है। स्थिर शाखा के लिए लिनक्स कर्नेल अनुरक्षक ग्रेग क्रोआ-हार्टमैन के रूप में, जब मिनेसोटा विश्वविद्यालय के छात्रों ने जानबूझकर 2021 में एक प्रयोग के लिए लिनक्स कर्नेल में खराब कोड डालने का प्रयास किया, तो उन्होंने कहा, "वे जो कर रहे हैं वह जानबूझकर दुर्भावनापूर्ण व्यवहार है और स्वीकार्य नहीं है और पूरी तरह से अनैतिक है।"

लोगों ने लंबे समय से तर्क दिया है कि ओपन-सोर्स में नैतिक प्रावधान भी शामिल होने चाहिए। उदाहरण के लिए, 2009 के अपवाद सामान्य सार्वजनिक लाइसेंस (ईजीपीएल), का एक संशोधन GPLv2, ने "अपवादों" जैसे कि सैन्य उपयोगकर्ताओं और आपूर्तिकर्ताओं को इसके कोड का उपयोग करने से मना करने का प्रयास किया। यह विफल हुआ। अन्य लाइसेंस जैसे JSON लाइसेंस अपने मधुर भोलेपन के साथ "सॉफ्टवेयर का उपयोग अच्छे के लिए किया जाएगा, बुराई के लिए नहीं" खंड अभी भी आसपास है, लेकिन कोई भी इसे लागू नहीं करता है।  

हाल ही में, एक्टिविस्ट और सॉफ्टवेयर डेवलपर Coraline Ada Ehmke ने एक ओपन-सोर्स लाइसेंस पेश किया, जिसके लिए इसके उपयोगकर्ताओं को नैतिक रूप से कार्य करने की आवश्यकता होती है। विशेष रूप से, उसे हिप्पोक्रेटिक लाइसेंस में जोड़ा गया एमआईटी ओपन-सोर्स लाइसेंस एक खंड बताते हुए: 

"सॉफ्टवेयर का उपयोग व्यक्तियों, निगमों, सरकारों, या अन्य समूहों द्वारा सिस्टम या गतिविधियों के लिए नहीं किया जा सकता है जो सक्रिय रूप से और जानबूझकर खतरे में डालते हैं, नुकसान पहुंचाते हैं, या अन्यथा वंचित व्यक्तियों या समूहों के शारीरिक, मानसिक, आर्थिक या सामान्य कल्याण को खतरे में डालते हैं। मानवाधिकारों की संयुक्त राष्ट्र की सार्वभौम घोषणा का उल्लंघन।"

अच्छा लगता है, लेकिन यह खुला स्रोत नहीं है। आप देखिए, ओपन-सोर्स अपने आप में एक नैतिक स्थिति है। इसकी नैतिकता में निहित है फ्री सॉफ्टवेयर फाउंडेशन (FSF)की चार आवश्यक स्वतंत्रताएं. यह सभी ओपन-सोर्स लाइसेंस और उनके मूल दर्शन का आधार है। ओपन-सोर्स कानूनी विशेषज्ञ और कोलंबिया के कानून के प्रोफेसर एबेन मोगलेन ने उस समय कहा था कि नैतिक लाइसेंस मुफ्त सॉफ्टवेयर या ओपन-सोर्स लाइसेंस नहीं हो सकते हैं: 

"स्वतंत्रता शून्य, किसी भी उद्देश्य के लिए प्रोग्राम चलाने का अधिकार, चार स्वतंत्रताओं में सबसे पहले आता है क्योंकि यदि उपयोगकर्ताओं के पास उनके द्वारा चलाए जा रहे कंप्यूटर प्रोग्राम के संबंध में वह अधिकार नहीं है, तो अंततः उन प्रोग्रामों में उनका कोई अधिकार नहीं होता है। केवल अच्छे उपयोग के लिए अनुमति देने का प्रयास, या लाइसेंसकर्ता की नजर में बुरे लोगों को प्रतिबंधित करने का प्रयास, स्वतंत्रता शून्य की रक्षा करने की आवश्यकता का उल्लंघन करता है।" 

दूसरे शब्दों में, यदि आप किसी भी कारण से अपना कोड साझा नहीं कर सकते हैं, तो आपका कोड वास्तव में खुला स्रोत नहीं है। 

एक समूह को ओपन-सोर्स सॉफ़्टवेयर का उपयोग करने से मना करने के बारे में एक और अधिक व्यावहारिक तर्क यह है कि आईपी पते जैसी किसी चीज़ पर अवरोध करना एक बहुत व्यापक ब्रश है। फ्लोरियन रोथ के रूप में, सुरक्षा कंपनी नेक्सट्रॉन सिस्टम्स' अनुसंधान प्रमुख, जिन्होंने माना "सिस्टम पर मेरे मुफ़्त टूल को अक्षम करना कुछ भाषा और समय क्षेत्र सेटिंग्स के साथ," अंत में नहीं करने का फैसला किया। क्यों? क्योंकि ऐसा करने से "हम आलोचकों और स्वतंत्र विचारकों के सिस्टम पर टूल को भी अक्षम कर देंगे जो उनकी सरकारों के कार्यों की निंदा करते हैं।" 

दुर्भाग्य से, यह केवल ओपन-सोर्स सॉफ़्टवेयर के लिए परेशानी पैदा करने वाले उच्च नैतिक उद्देश्य के रूप में देखने वाले लोगों के लिए ओपन-सोर्स का उपयोग करने की कोशिश नहीं कर रहा है। 

इस साल की शुरुआत में, जावास्क्रिप्ट डेवलपर मारक स्क्वॉयर ने जानबूझकर उनकी अस्पष्ट, लेकिन बेहद महत्वपूर्ण ओपन-सोर्स जावास्क्रिप्ट लाइब्रेरी 'colors.js' और 'faker.js' में तोड़फोड़ की। परिणाम? हजारों जावास्क्रिप्ट प्रोग्रामों ने उड़ा दिया।

क्यों? यह अभी भी पूरी तरह से स्पष्ट नहीं है, लेकिन बाद में हटाए गए गिटहब पोस्ट में, स्क्वायर्स ने लिखा, "सम्मानपूर्वक, मैं अब फॉर्च्यून 500s का समर्थन नहीं करने जा रहा हूं (और अन्य छोटे आकार की कंपनियां) मेरे मुफ्त काम के साथ। कहने के लिए और कुछ नहीं है। इसे मुझे छह अंकों का वार्षिक अनुबंध भेजने या परियोजना को फोर्क करने और किसी और को इस पर काम करने के अवसर के रूप में लें। जैसा कि आप कल्पना कर सकते हैं, तनख्वाह के लिए उसे ब्लैकमेल करने का यह प्रयास उसके लिए इतना अच्छा नहीं रहा। 

और, फिर ऐसे लोग हैं जो मौज-मस्ती और लाभ के लिए जानबूझकर अपने ओपन-सोर्स कोड में मैलवेयर डालते हैं। उदाहरण के लिए, DevOps सुरक्षा फर्म जेफ्रोग एनपीएम रिपॉजिटरी में 17 नए जावास्क्रिप्ट दुर्भावनापूर्ण पैकेज खोजे गए जो जानबूझकर उपयोगकर्ता के डिस्कॉर्ड टोकन पर हमला करते हैं और चोरी करते हैं। इन्हें तब इस्तेमाल किया जा सकता है कलह संचार और डिजिटल वितरण मंच.

नए दुर्भावनापूर्ण ओपन-सोर्स प्रोग्राम बनाने के अलावा, जो निर्दोष और मददगार लगते हैं, अन्य हमलावर पुराने, परित्यक्त सॉफ़्टवेयर ले रहे हैं और उन्हें क्रिप्टो सिक्का चोरी करने वाले बैकडोर को शामिल करने के लिए फिर से लिख रहे हैं। ऐसा ही एक कार्यक्रम था इवेंट-स्ट्रीम। इसमें बिटकॉइन वॉलेट चोरी करने और कुआलालंपुर सर्वर पर अपनी शेष राशि स्थानांतरित करने के लिए दुर्भावनापूर्ण कोड डाला गया था। पिछले कुछ वर्षों में इसी तरह के कई एपिसोड हुए हैं।

इस तरह के प्रत्येक कदम के साथ, ओपन-सोर्स सॉफ़्टवेयर में विश्वास कम हो जाता है। चूंकि ओपन-सोर्स आधुनिक दुनिया के लिए बिल्कुल महत्वपूर्ण है, यह एक घटिया प्रवृत्ति है। 

हम इसके बारे में क्या कर सकते हैं? ठीक है, एक बात के लिए, हमें वास्तव में बहुत सावधानी से विचार करना चाहिए, यदि कभी भी, हमें ओपन-सोर्स कोड के उपयोग को रोकना चाहिए। 

अधिक व्यावहारिक रूप से, हमें के उपयोग को अपनाना शुरू करना चाहिए लिनक्स फाउंडेशन का सॉफ्टवेयर पैकेज डेटा एक्सचेंज (एसपीडीएक्स) और सामग्री का सॉफ्टवेयर बिल (एसबीओएम). ये सब मिलकर हमें बताएंगे कि हम अपने कार्यक्रमों में किस कोड का उपयोग कर रहे हैं और यह कहां से आता है। तब, हम सूचित निर्णय लेने में बहुत अधिक सक्षम होंगे।

आज, प्रायः सभी लोग ओपन-सोर्स कोड का उपयोग करते हैं, यह जाने बिना कि वे क्या चला रहे हैं या समस्याओं के लिए इसकी जाँच नहीं कर रहे हैं। वे मानते हैं कि इसमें सब ठीक है। यह कभी भी एक स्मार्ट धारणा नहीं रही है। आज, यह सर्वथा मूर्ख है। 

इन सभी हालिया परिवर्तनों के बावजूद, ब्लैक-बॉक्स मालिकाना सॉफ़्टवेयर विकल्पों की तुलना में ओपन-सोर्स अभी भी बेहतर और सुरक्षित है। लेकिन, हमें कोड पर आंख मूंदकर भरोसा करने के बजाय उसकी जांच और सत्यापन करना चाहिए। आगे बढ़ने के लिए यह एकमात्र स्मार्ट चीज है।

संबंधित कहानियां: