Thế giới mã nguồn mở đang chứng kiến một cuộc nổi loạn đáng kể khi Nick Wellnhofer , người duy trì libxml2 —một trong những thư viện phân tích XML được sử dụng rộng rãi nhất—đã tuyên bố rằng anh sẽ không còn tuân thủ các lệnh cấm bảo mật hoặc xử lý các lỗi bảo mật như những trường hợp đặc biệt. Quyết định này đã gây ra cuộc tranh luận gay gắt về trách nhiệm của các tập đoàn và tính bền vững của cơ sở hạ tầng mã nguồn mở quan trọng.
Libxml2 cung cấp năng lượng cho mọi thứ từ hệ điều hành của Apple đến trình duyệt Chrome của Google và các sản phẩm khác nhau của Microsoft . Mặc dù đóng vai trò quan trọng trong hàng tỷ thiết bị trên toàn thế giới, dự án chỉ nhận được 17.000 đô la Mỹ quyên góp, trong đó Google đóng góp 10.000 đô la Mỹ. Sự tương phản rõ rệt giữa việc sử dụng và hỗ trợ này đã đẩy Wellnhofer đến giới hạn của mình.
Tình trạng tài trợ của Libxml2
- Tổng số tiền quyên góp nhận được: $17,000 USD
- Đóng góp của Google: $10,000 USD (quyên góp một lần)
- Các công ty lớn sử dụng: Apple , Google , Microsoft
- Tình trạng bảo trì hiện tại: Người duy trì tình nguyện duy nhất đang từ chức
Kịch bản bảo mật và khai thác các nhà nghiên cứu
Giọt nước tràn ly xảy ra khi các nhà nghiên cứu bảo mật từ Positive Technologies tràn ngập dự án với các báo cáo về những lỗ hổng nhỏ, yêu cầu số CVE và lịch trình vá lỗi mà không đưa ra bất kỳ bản sửa lỗi nào. Những nhà nghiên cứu này có vẻ quan tâm nhiều hơn đến việc tô điểm hồ sơ của họ bằng các khám phá lỗ hổng hơn là thực sự cải thiện bảo mật phần mềm. Cộng đồng ngày càng cảm thấy thất vọng với những gì nhiều người coi là canh tác CVE —thực hành tìm kiếm các lỗi tầm thường và thổi phồng mức độ nghiêm trọng của chúng để có lợi ích nghề nghiệp.
Nhiều nhà phát triển cho rằng hệ thống báo cáo bảo mật hiện tại đã trở nên phản tác dụng. Các lỗ hổng từ chối dịch vụ yêu cầu các điều kiện cụ thể, không chắc chắn đang được xử lý với cùng mức độ khẩn cấp như các vi phạm dữ liệu nghiêm trọng. Điều này tạo ra tiếng ồn lớn làm lu mờ các vấn đề bảo mật thực sự nghiêm trọng trong khi làm kiệt sức các người duy trì tình nguyện.
Thay đổi Chính sách Bảo mật
- Không còn lệnh cấm vận bảo mật
- Tất cả lỗi bảo mật được xử lý như các lỗi thông thường
- Công khai ngay lập tức khi nhận được báo cáo
- Không có lịch trình đặc biệt cho việc sửa lỗi bảo mật
- Số CVE không được cung cấp bởi người bảo trì
Chủ nghĩa ký sinh của tập đoàn bị phơi bày
Tình hình này tiết lộ một mô hình đáng lo ngại khi các tập đoàn nghìn tỷ đô la xây dựng sản phẩm của họ trên phần mềm miễn phí nhưng hầu như không đóng góp gì trở lại cho việc bảo trì. Apple , Google và Microsoft đều phụ thuộc rất nhiều vào libxml2 , nhưng không công ty nào cung cấp hỗ trợ liên tục có ý nghĩa cho việc phát triển của nó. Khi các vấn đề bảo mật phát sinh, những công ty này mong đợi các người duy trì tình nguyện bỏ mọi thứ và cung cấp hỗ trợ khẩn cấp miễn phí.
Hành vi của những công ty này là vô trách nhiệm. Ngay cả khi họ tuyên bố khác đi, họ không quan tâm đến bảo mật và quyền riêng tư của người dùng. Họ chỉ cố gắng khắc phục các triệu chứng.
Động lực này đã tạo ra cái mà một số người gọi là chiếm đoạt quy định của tài sản chung, nơi các tập đoàn áp đặt yêu cầu của họ lên các dự án tình nguyện mà không có sự hỗ trợ tương hỗ. Áp lực tâm lý lên các người duy trì để tuân thủ các yêu cầu của tập đoàn thường ngăn cản họ thiết lập các ranh giới lành mạnh.
Sử dụng của Doanh nghiệp so với Hỗ trợ
- Apple : Sử dụng libxml2 như thành phần cốt lõi của hệ điều hành, đóng góp tối thiểu cho upstream
- Google : Sử dụng trong Chrome và các sản phẩm khác, quyên góp một lần 10.000 đô la
- Microsoft : Sử dụng trong các thành phần hệ điều hành bên ngoài trình duyệt Edge
- Giá trị thị trường kết hợp: Hàng nghìn tỷ đô la
- Hỗ trợ có ý nghĩa kết hợp: Hầu như không có
Con đường phía trước
Giải pháp của Wellnhofer là cấp tiến nhưng hợp lý: xử lý tất cả các lỗi một cách bình đẳng và công bố chúng ngay lập tức mà không có lệnh cấm. Cách tiếp cận này loại bỏ tính khẩn cấp giả tạo cho phép các nhà nghiên cứu bảo mật và tập đoàn khai thác lao động tình nguyện. Nếu các công ty thực sự cần các bản sửa lỗi bảo mật ngay lập tức, họ có thể tự đóng góp các bản vá hoặc thuê người duy trì làm tư vấn.
Phản ứng của cộng đồng phần lớn ủng hộ, với nhiều người đề xuất rằng các dự án nên áp dụng các tài liệu điều khoản bảo trì chính thức nêu rõ những gì người duy trì sẽ làm và không làm. Điều này sẽ cho phép các nhà phát triển từ chối một cách rõ ràng các yêu cầu không hợp lý mà không cảm thấy tội lỗi về việc có thể gây hại cho người dùng.
Tác động đối với mã nguồn mở
Tranh cãi này làm nổi bật một cuộc khủng hoảng bền vững cơ bản trong phần mềm mã nguồn mở. Cơ sở hạ tầng internet ngày càng phụ thuộc vào các dự án được duy trì bởi các tình nguyện viên không được trả lương, những người được mong đợi cung cấp hỗ trợ cấp doanh nghiệp. Nếu không có những thay đổi đáng kể trong cách các tập đoàn tương tác với các dự án mã nguồn mở, nhiều người duy trì có thể theo gương Wellnhofer .
Tình hình này cũng phơi bày những hạn chế của các giấy phép cho phép như MIT , cho phép sử dụng thương mại không giới hạn mà không yêu cầu bất kỳ đóng góp nào trở lại cho dự án gốc. Một số nhà phát triển đang xem xét lại liệu các giấy phép hạn chế hơn có thể bảo vệ tốt hơn các người duy trì tình nguyện khỏi bị khai thác.
Khi câu chuyện này phát triển, nó có thể phục vụ như một hồi chuông cảnh tỉnh cho ngành công nghệ để xem xét lại cách họ đối xử với các dự án mã nguồn mở tạo nên nền tảng của điện toán hiện đại. Lựa chọn rất rõ ràng: hoặc hỗ trợ những dự án quan trọng này một cách đúng đắn hoặc có nguy cơ mất chúng hoàn toàn.
Tham khảo: Chính sách không cấm bảo mật của Libxml2