โลกโอเพนซอร์สกำลังเผชิญกับการต่อต้านครั้งสำคัญ เมื่อ Nick Wellnhofer ผู้ดูแล libxml2 ซึ่งเป็นหนึ่งในไลบรารี XML parsing ที่ใช้กันอย่างแพร่หลายที่สุด ได้ประกาศว่าเขาจะไม่ปฏิบัติตามการห้ามเผยแพร่ข้อมูลความปลอดภัยอีกต่อไป หรือปฏิบัติต่อบั๊กด้านความปลอดภัยเป็นกรณีพิเศษ การตัดสินใจนี้ได้จุดประกายการถกเถียงอย่างเข้มข้นเกี่ยวกับความรับผิดชอบของบริษัทและความยั่งยืนของโครงสร้างพื้นฐานโอเพนซอร์สที่สำคัญ
Libxml2 เป็นพลังขับเคลื่อนทุกอย่างตั้งแต่ระบบปฏิบัติการของ Apple ไปจนถึงเบราว์เซอร์ Chrome ของ Google และผลิตภัณฑ์ต่างๆ ของ Microsoft แม้จะมีบทบาทสำคัญในอุปกรณ์หลายพันล้านเครื่องทั่วโลก แต่โครงการนี้ได้รับเงินบริจาคเพียง 17,000 ดอลลาร์สหรัฐ โดย Google บริจาค 10,000 ดอลลาร์สหรัฐจากจำนวนทั้งหมดนั้น ความแตกต่างอย่างสิ้นเชิงระหว่างการใช้งานและการสนับสนุนนี้ได้ผลักดัน Wellnhofer ให้ถึงจุดแตกหัก
สถานะการระดมทุนของ Libxml2
- เงินบริจาคที่ได้รับทั้งหมด: $17,000 USD
- เงินสนับสนุนจาก Google : $10,000 USD (การบริจาคครั้งเดียว)
- ผู้ใช้งานองค์กรหลัก: Apple , Google , Microsoft
- สถานะการดูแลรักษาปัจจุบัน: ผู้ดูแลอาสาสมัครคนเดียวกำลังจะลาออก
ละครความปลอดภัยและการเอาเปรียบนักวิจัย
หยดน้ำสุดท้ายเกิดขึ้นเมื่อนักวิจัยด้านความปลอดภัยจาก Positive Technologies ส่งรายงานช่องโหว่เล็กๆ น้อยๆ มาท่วมโครงการ โดยเรียกร้องหมายเลข CVE และกำหนดเวลาแพตช์โดยไม่เสนอการแก้ไขใดๆ เลย นักวิจัยเหล่านี้ดูเหมือนจะสนใจการเพิ่มประวัติการค้นพบช่องโหว่ในประวัติส่วนตัวมากกว่าการปรับปรุงความปลอดภัยของซอฟต์แวร์จริงๆ ชุมชนรู้สึกหงุดหงิดมากขึ้นกับสิ่งที่หลายคนมองว่าเป็นการเก็บเกี่ยว CVE ซึ่งเป็นการปฏิบัติในการค้นหาบั๊กเล็กๆ น้อยๆ และขยายความรุนแรงเพื่อผลประโยชน์ทางอาชีพ
นักพัฒนาหลายคนโต้แย้งว่าระบบการรายงานความปลอดภัยปัจจุบันได้กลายเป็นสิ่งที่ให้ผลตรงข้าม ช่องโหว่การปฏิเสธการให้บริการที่ต้องการเงื่อนไขเฉพาะและไม่น่าจะเกิดขึ้นกำลังถูกปฏิบัติด้วยความเร่งด่วนเดียวกับการละเมิดข้อมูลที่สำคัญ สิ่งนี้สร้างเสียงรบกวนมากมายที่กลบเกลื่อนปัญหาความปลอดภัยที่ร้ายแรงจริงๆ ในขณะที่ทำให้ผู้ดูแลอาสาสมัครเหนื่อยหน่าย
การเปลี่ยนแปลงนโยบายความปลอดภัย
- ไม่มีการห้ามเผยแพร่ข้อมูลความปลอดภัยอีกต่อไป
- จัดการบั๊กความปลอดภัยทั้งหมดเหมือนบั๊กทั่วไป
- เปิดเผยข้อมูลต่อสาธารณะทันทีเมื่อได้รับรายงาน
- ไม่มีกำหนดเวลาพิเศษสำหรับการแก้ไขปัญหาความปลอดภัย
- ผู้ดูแลไม่จัดหาหมายเลข CVE ให้
การเปิดเผยการปรสิตของบริษัท
สถานการณ์นี้เผยให้เห็นรูปแบบที่น่าวิตกที่บริษัทมูลค่าหลายล้านล้านดอลลาร์สร้างผลิตภัณฑ์บนซอฟต์แวร์ฟรี แต่ไม่มีส่วนร่วมในการบำรุงรักษาเกือบเลย Apple, Google และ Microsoft ต่างพึ่งพา libxml2 อย่างมาก แต่ไม่มีบริษัทใดให้การสนับสนุนอย่างมีความหมายสำหรับการพัฒนา เมื่อปัญหาความปลอดภัยเกิดขึ้น บริษัทเหล่านี้คาดหวังให้ผู้ดูแลอาสาสมัครทิ้งทุกอย่างและให้การสนับสนุนฉุกเฉินฟรี
พฤติกรรมของบริษัทเหล่านี้ไร้ความรับผิดชอบ แม้ว่าพวกเขาจะอ้างเป็นอย่างอื่น แต่พวกเขาไม่ใส่ใจความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ พวกเขาพยายามแก้ไขเฉพาะอาการเท่านั้น
พลวัตนี้ได้สร้างสิ่งที่บางคนเรียกว่าการยึดครองทางกฎระเบียบของสมบัติส่วนรวม ที่บริษัทบังคับใช้ข้อกำหนดของตนกับโครงการอาสาสมัครโดยไม่มีการสนับสนุนแบบสองทาง แรงกดดันทางจิตใจต่อผู้ดูแลให้ปฏิบัติตามข้อเรียกร้องของบริษัทมักป้องกันไม่ให้พวกเขาตั้งขอบเขตที่ดีต่อสุขภาพ
การใช้งานขององค์กร vs การสนับสนุน
- Apple : ใช้ libxml2 เป็นส่วนประกอบหลักของระบบปฏิบัติการ แต่มีการสนับสนุนต้นทางน้อยมาก
- Google : ใช้ใน Chrome และผลิตภัณฑ์อื่นๆ บริจาคครั้งเดียว $10,000
- Microsoft : ใช้ในส่วนประกอบของระบบปฏิบัติการนอกเหนือจากเบราว์เซอร์ Edge
- มูลค่าตลาดรวม: หลายล้านล้านดอลลาร์
- การสนับสนุนที่มีความหมายรวม: แทบไม่มีเลย
เส้นทางข้างหน้า
วิธีแก้ปัญหาของ Wellnhofer ค่อนข้างรุนแรงแต่มีเหตุผล คือปฏิบัติต่อบั๊กทุกตัวเท่าเทียมกันและเผยแพร่ทันทีโดยไม่มีการห้าม แนวทางนี้ขจัดความเร่งด่วนเทียมที่ช่วยให้นักวิจัยด้านความปลอดภัยและบริษัทเอาเปรียบแรงงานอาสาสมัคร หากบริษัทต้องการการแก้ไขความปลอดภัยทันที พวกเขาสามารถส่งแพตช์เองหรือจ้างผู้ดูแลเป็นที่ปรึกษา
การตอบสนองของชุมชนส่วนใหญ่ให้การสนับสนุน โดยหลายคนแนะนำให้โครงการต่างๆ ใช้เอกสารเงื่อนไขการบำรุงรักษาอย่างเป็นทางการที่ระบุอย่างชัดเจนว่าผู้ดูแลจะทำและไม่ทำอะไร สิ่งนี้จะให้อนุญาตอย่างชัดเจนแก่นักพัฒนาในการปฏิเสธข้อเรียกร้องที่ไม่สมเหตุสมผลโดยไม่รู้สึกผิดที่อาจเป็นอันตรายต่อผู้ใช้
ผลกระทบต่อโอเพนซอร์ส
ความขัดแย้งนี้เน้นย้ำวิกฤตความยั่งยืนพื้นฐานในซอฟต์แวร์โอเพนซอร์ส โครงสร้างพื้นฐานของอินเทอร์เน็ตพึ่งพาโครงการที่ดูแลโดยอาสาสมัครที่ไม่ได้รับค่าจ้างมากขึ้น ซึ่งคาดหวังให้ให้การสนับสนุนระดับองค์กร หากไม่มีการเปลี่ยนแปลงที่สำคัญในวิธีที่บริษัทมีส่วนร่วมกับโครงการโอเพนซอร์ส ผู้ดูแลอื่นๆ อาจตามตัวอย่างของ Wellnhofer
สถานการณ์นี้ยังเปิดเผยข้อจำกัดของใบอนุญาตแบบเปิดเช่น MIT ที่อนุญาตให้ใช้เชิงพาณิชย์ได้ไม่จำกัดโดยไม่ต้องมีส่วนร่วมใดๆ กลับไปยังโครงการต้นฉบับ นักพัฒนาบางคนกำลังพิจารณาใหม่ว่าใบอนุญาตที่จำกัดมากกว่าอาจปกป้องผู้ดูแลอาสาสมัครจากการเอาเปรียบได้ดีกว่า
เมื่อเรื่องราวนี้พัฒนาไป อาจเป็นสัญญาณเตือนสำหรับอุตสาหกรรมเทคโนโลยีให้พิจารณาใหม่ว่าจะปฏิบัติต่อโครงการโอเพนซอร์สที่เป็นรากฐานของการคำนวณสมัยใหม่อย่างไร ทางเลือกชัดเจน คือสนับสนุนโครงการสำคัญเหล่านี้อย่างเหมาะสม หรือเสี่ยงที่จะสูญเสียพวกเขาไปทั้งหมด