Кээ бир иштеп чыгуучулар ачык булактуу программалык камсыздоону бузуп жатышат

Ачык булактагы эң таң калыштуу нерселердин бири - бул сонун программалык камсыздоону чыгарганында эмес. Көптөгөн иштеп чыгуучулар башкалардын жардамы менен сонун программаларды түзүү үчүн өздөрүнүн эголорун четке кагышат. Азыр болсо, бир ууч программисттер ар бир адам үчүн ачык булактуу программалык камсыздоонун жакшылыгынан жогору коюшат.

Мисалы, JavaScript пакетинин менеджери RIAEvangelist, Брэндон Нозаки Миллер, ачык коддуу npm булак-код пакетин жазып жана жарыялаган, тынчтыкты жаратуучу. Ал иш такталарына тынчтык үчүн билдирүү басып чыгаргандан башка эч нерсе кылган жок. Азырынча, абдан зыянсыз. 

Андан кийин Миллер пакетке зыяндуу кодду киргизген, эгерде алардын компьютеринде Орусия же Беларусь IP дареги болсо, колдонуучулардын файл тутумдарын кайра жазуу. Андан кийин аны өзүнүн популярдуулугуна көз карандылык катары кошкон node-ipc программа жана заматта башаламандык! Көптөгөн серверлер жана жеке компьютерлер эң жаңы кодго жаңыртылгандыктан, иштебей калышкан, андан кийин алардын тутумдары дисктери өчүрүлгөн. 

Миллердин коргонуусу, "Мунун баары ачык, документтештирилген, лицензияланган жана ачык булак,” турушпайт. 

Лиран Тал, Snyk көйгөйдү ачкан изилдөөчү мындай деди: «Атайылап жасалган жана коркунучтуу иш [кээ бирөөлөр тарабынан мыйзамдуу нааразылык акциясы катары кабыл алынса да, бул сактоочунун келечектеги аброюн кандайча чагылдырат жана иштеп чыгуучулар коомчулугунда үлүшү барбы? Бул тейлөөчүгө алар катышкан ар кандай долбоорлор үчүн ушундай же андан да агрессивдүү аракеттер менен келечектеги иш-аракеттерди улантпоого дагы бир жолу ишене алабы? 

Миллер кокустук эмес. Ал көптөгөн жакшы коддорду чыгарды, мисалы, node-ipc жана Түйүн HTTP сервери. Бирок, анын коду зыяндуу эмес деп ишене аласызбы? Ал мындай деп сүрөттөйт, ал эми "зыяндуу программа эмес, [бирок] толугу менен документтештирилген протест программасы"," башкалар катуу макул эмес. 

Бир GitHub программисти жазгандай: «Мында эмне болот, батыш корпорацияларындагы Орусияга же саясатка таптакыр тиешеси жок коопсуздук топтору муну көрө башташат. акысыз жана ачык булактуу программалык камсыздоо, жеткирүү чынжырына кол салуу үчүн жол катары (бул толугу менен) жана жөн гана эркин жана ачык булактуу программалык камсыздоого тыюу сала баштаңыз - бардык эркин жана ачык булактуу программалык камсыздоо - өз компанияларында. 

Башка GitHub иштеп чыгуучусу nm17 туткасы менен жазгандай, “The ачык булактын ишеним факторуИштеп чыгуучулардын жакшы каалоосуна негизделген , азыр иш жүзүндө жок болуп кетти, эми барган сайын көбүрөөк адамдар бир күнү алардын китепканасын/колдонмосун интернетте кандайдыр бир кокусунан ойлоп тапкан нерселерди жасоо/айтуу үчүн пайдаланылышы мүмкүн экенин түшүнүп жатышат. Алардын кылганы туура болчу“».

Экөө тең туура ойлорду айтышат. Эгер сиз аны жасаган адамдын саясий позициясына макул болбосоңуз, баштапкы кодду колдоно албасаңыз, аны кантип ишенимдүү колдоно аласыз? 

Миллердин жүрөгү туура жерде болушу мүмкүн — Слава Украина! — бирок зыяндуу пайдалуу жүк менен жуккан ачык булактуу программалык камсыздоо Орусиянын Украинага басып киришин коргоонун туура жолубу? Жок андай эмес. 

Ачык булак ыкмасы биз бири-бирибизге ишенгендиктен гана иштейт. Бул ишеним бузулганда, кандай себеп болбосун, ачык булактын негизги негизи бузулат. Миннесота университетинин студенттери 2021-жылы эксперимент үчүн Linux ядросуна атайылап жаман код киргизүүгө аракет кылганда, туруктуу филиалдын Linux ядросунун тейлөөчүсү Грег Кроах-Хартман айткандай: “Алар жасап жаткан нерсе – бул атайылап зыяндуу жүрүм-турум жана кабыл алынбайт жана таптакыр этикага туура келбейт».

Адамдар ачык булак этикалык жоболорду да камтышы керек деп көптөн бери талашып келишет. Мисалы, 2009-ж Exception General Public License (eGPL), кайра карап чыгуу GPLv2, анын кодун колдонууга аскердик колдонуучулар жана жеткирүүчүлөр сыяктуу "өзгөчөлөргө" тыюу салууга аракет кылган. Бул ишке ашпай калды. Башка лицензиялар, мисалы JSON лицензиясы "Программалык камсыздоо жамандык үчүн эмес, жакшылык үчүн колдонулат" деген берене дагы эле бар, бирок аны эч ким аткарбайт.  

Жакында активист жана программалык камсыздоону иштеп чыгуучу Коралин Ада Эхмке өзүнүн колдонуучуларынан моралдык жактан иш-аракет кылууну талап кылган ачык булак лицензиясын киргизди. Тактап айтканда, анын Гиппократтык лицензия кошулган MIT ачык булак лицензиясы деген пункт: 

"Программаны жеке адамдар, корпорациялар, өкмөттөр же башка топтор жигердүү жана билип туруп коркунуч туудурган, зыян келтирген же физикалык, психикалык, экономикалык же жалпы жыргалчылыгына коркунуч туудурган системалар же иш-аракеттер үчүн колдонулушу мүмкүн эмес. Бириккен Улуттардын Уюмунун адам укуктарынын жалпы декларациясын бузуу».

Жакшы угулат, бирок бул ачык булак эмес. Көрдүңүзбү, ачык булак өзүнчө этикалык позиция. Анын этикасы камтылган Free Software Foundation (FSF)'с Төрт негизги эркиндик. Бул бардык ачык булак лицензияларынын жана алардын негизги философиясынын негизи. Ачык булактуу юридикалык эксперт жана Колумбиянын укук профессору Эбен Моглен айткандай, этикалык лицензиялар бекер программалык камсыздоо же ачык булак лицензиясы болушу мүмкүн эмес: 

«Эркиндик нөл, программаны каалаган максатта иштетүү укугу төрт эркиндикте биринчи орунда турат, анткени эгерде колдонуучулар иштеткен компьютердик программаларга карата андай укукка ээ болбосо, алар акырында ал программаларда эч кандай укуктарга ээ эмес. Лицензиардын көз алдында жакшы максаттарга гана уруксат берүү же жамандарына тыюу салуу аракеттери нөлдүк эркиндикти коргоо талабын бузат». 

Башкача айтканда, кандайдыр бир себептерден улам кодуңузду бөлүшө албасаңыз, кодуңуз чындап ачык булак эмес. 

Бир топко ачык булактуу программалык камсыздоону колдонууга тыюу салуу жөнүндө дагы бир прагматикалык аргумент - бул IP дареги сыяктуу нерсени бөгөттөө өтө кеңири щетка. Florian Roth катары, коопсуздук компаниясы Nextron системалары' деп эсептеген илимий-изилдөө бөлүмүнүн башчысы.системалардагы акысыз куралдарымды өчүрүү белгилүү бир тил жана убакыт алкагынын жөндөөлөрү менен," акыры болбоону чечти. Неге? Анткени ушундай кылуу менен "ошондой эле сынчылардын жана эркин ойчулдардын тутумундагы куралдарды өчүрмөкпүз алардын өкмөттөрүнүн аракеттерин айыптайт». 

Тилекке каршы, ачык булактуу программалык камсыздоодо көйгөй жаратып жаткан адамдар гана эмес, алар жогорку этикалык максат катары ачык булакты колдонууга аракет кылып жатышат. 

Ушул жылдын башында JavaScript иштеп чыгуучусу Марак Сквайрес өзүнүн бүдөмүк, бирок өтө маанилүү ачык булактуу Javascript китепканалары "colors.js" жана "faker.js" деп атайылап саботаж кылган." Жыйынтык? Он миңдеген JavaScript программалары жарылып кетти.

Неге? Бул дагы эле так эмес, бирок жок кылынган GitHub постунда Сквайрс мындай деп жазган: "Урматтоо менен, Мен мындан ары Fortune 500s колдобойм (жана башка майда компаниялар) менин эркин ишим менен. Башка айта турган көп нерсе жок. Муну мага жыл сайын алты цифралуу контракт жөнөтүү же долбоорду ишке ашыруу жана башка бирөөнүн үстүнөн иштөө мүмкүнчүлүгү катары колдонуңуз. Сиз ойлогондой, анын эмгек акысын алуу жолун шантаж кылуу аракети ага анчалык жакшы натыйжа берген жок. 

Анан көңүл ачуу жана пайда алуу үчүн зыяндуу программаны атайылап ачык булак кодуна киргизген адамдар бар. Мисалы, DevOps коопсуздук фирмасы JFrog NPM репозиторийинде колдонуучунун Discord токендерине атайылап кол салган жана уурдаган 17 жаңы JavaScript зыяндуу пакеттерин тапты. Булар кийин колдонсо болот Discord байланыш жана санариптик бөлүштүрүү платформасы.

Бейкүнөө жана пайдалуу көрүнгөн жаңы зыяндуу ачык булактуу программаларды түзүүдөн тышкары, башка чабуулчулар эски, ташталган программалык камсыздоону алып, крипто монеталарын уурдоо үчүн кайра жазып жатышат. Мындай программалардын бири окуя-стрим болчу. Анда биткоин капчыктарын уурдоо жана алардын баланстарын Куала-Лумпурдун серверине которуу үчүн зыяндуу код киргизилген. Бул жылдар аралыгында бир нече окшош эпизоддор болгон.

Ар бир мындай кадам менен, ачык булактуу программалык камсыздоого болгон ишеним азаят. Ачык булак заманбап дүйнө үчүн абдан маанилүү болгондуктан, бул жаман тренд. 

Бул тууралуу эмне кылсак болот? Ооба, биринчиден, биз качан, качан болсо, ачык булак кодун колдонууга бөгөт коюшубуз керек экенин абдан кылдаттык менен карап чыгышыбыз керек. 

Көбүрөөк практикалык жактан, биз колдонууну кабыл алышыбыз керек Linux Foundation's Программалык камсыздоо топтомунун маалымат алмашуусу (SPDX) жана Программалык камсыздоонун материалдары (SBOM). Булар чогуу биздин программаларда кандай кодду колдонуп жатканыбызды жана ал кайдан келгенин так айтып берет. Андан кийин, биз негизделген чечимдерди кабыл алуу мүмкүнчүлүгүнө ээ болобуз.

Бүгүнкү күндө көп адамдар ачык булактуу кодду колдонуп, эмнени иштетип жатканын так билбейт же көйгөйлөрдү текшеришпейт. Алар муну менен баары жакшы болот деп ойлошот. Бул эч качан акылдуу божомол болгон эмес. Бүгүн бул акылсыздык. 

Бул акыркы өзгөрүүлөргө карабастан, ачык булак дагы эле кара кутучанын проприетардык программалык камсыздоосуна караганда жакшыраак жана коопсуз. Бирок, биз кодду сокур ишенгендин ордуна текшерип, текшеришибиз керек. Бул алдыда кыла турган жалгыз акылдуу нерсе.

Тектеш Stories: