Kritik bir güvenlik açığı bir kez daha günümüzün açık kaynak gerçekliğine ışık tuttu. Adını artık her yerde bulunan XKCD çizgi romanı ‘Dependency’den alan ‘Nebraska projelerini’ ücretsiz olarak sürdüren hobiciler, modern dünyanın yükünü omuzlarında taşıyor.
Tüm yazılımlarda kritik güvenlik açıkları da dahil olmak üzere hatalar bulunur. Tescilli satıcılar Salı Yaması ile ünlüdür. Bazıları bakım sağlayıcılara ödeme yapmanın güvenliği artırdığına dair kanıt arıyor ancak dürüst olalım: Açık kaynak meraklıları zaten yüksek kaliteli yazılım üretme konusunda çok iyi bir iş çıkarıyorlar. Evet, OpenSSF gibi çalışmalarla kritik bileşenlerdeki güvenlik açıklarını proaktif olarak belirlemeli, önceliklendirmeli, denetlemeli ve düzeltmeliyiz. XZ Utils’i etkileyen olay gibi olaylar bizi bunu yapmaya teşvik etmeli.
XZ gibi olaylar aynı zamanda bakımcıların tükenmesine son vermemiz için bizi harekete geçirmelidir. XZ bakımcısı Lasse Collin’in tükenmişliği, XZ sosyal mühendislik saldırısının başarısında belirleyici bir faktördü. Bu onu ‘Jia Tan’ kişiliğini eş bakıcı olarak kabul etmesi yönündeki baskılara karşı daha savunmasız hale getirdi. XZ, altta yatan açık kaynak sürdürülebilirlik krizinin bir başka yüksek profilli belirtisidir.
Açık kaynak sürdürülebilirliği, benim tanımladığım şekliyle, “herhangi bir akıllı, motive kişinin geniş çapta benimsenen açık kaynaklı yazılım üretebilmesi ve engelleri aşmadan adil bir şekilde ödeme alabilmesidir.” Çemberlerin üzerinden atlamak pek çok şekilde olabilir: bir danışmanlık şirketi kurmak, özel yazılım üzerinde çalışmak, eğitim içeriği üretmek. Bunların hepsi bir bireyin açık kaynak çalışmasına maddi destek sağlayabilir ki bu harikadır, ancak bunu doğrudan sürdürmezler. Teşvikler birbirine uymadığı için açık kaynak kaybediyor.
Açık kaynak ekonomisiyle yüzleşene ve teşvikleri düzeltene kadar bakım sağlayıcıları yakmaya devam edeceğiz. Açık kaynak bir restoran gibidir. Çoğu şirket yemek yer ve atılır. Devlet Teknoloji Fonları gibi vergiye dayalı yaklaşımlar cevabın bir parçası olabilir. HeroDevs ve OpenJS’nin yakın zamanda duyurduğu gibi gelir paylaşımı modelleri de umut verici bir yaklaşım. Sonuçta, ekonomi genelindeki şirketlerin harekete geçmesine ve bakımcılara ödeme yapmasına ihtiyacımız var. FOSS Fonlayıcıları bir başlangıç ama yapılacak daha çok iş var.
Kurumsal baraj kapaklarını açmak zorluklardan biri, belki de en zoru. Hemen arkasında başka bir şey var: Para nereye gitmeli? Gelişen, üretken bir ekosistem sağlayacak şekilde bakımcılara finansmanı en verimli şekilde nasıl tahsis edebiliriz? GitHub Sponsorları ve Thanks.dev gibi doğrudan bakım sağlayıcılara yönelik platformlar bir yöntemdir, ancak bu, bağımlılıklarının uzun kuyruğuyla ilgilenmek için şirketlere çok fazla yük getirebilir. Açık kaynak vakıflarının burada büyük bir fırsata sahip olduğunu giderek daha fazla görmeye başlıyorum. Aslında yeni Avrupa mevzuatı onların açık kaynak yazılım sorumlusu rollerini resmileştiriyor.
Lassie Collin gibi bireysel geliştiricilere, açık kaynaklı bir projeyle başarıya ulaştıklarında izleyecekleri açık bir yol sağlamamız gerekiyor. Belki de gelecekte vakıflar, popüler projeleri “satın alarak”, orijinal yazara bakımını üstlenmesi için ödeme yaparak yeniliği teşvik edecek. Daha sonra, bir temel içinde, istediğini al modelleri, açık kaynağın kalbindeki içsel motivasyonla uyumlu ekonomik teşvikler sağlayabilir. Açık Toplu Giderler ve Liberapay Ekipleri gibi araçlar buna yardımcı olmak için zaten mevcuttur.
XZ gibi güvenlik olayları her zaman yanımızda olacak. Bunları azaltmak için çalışmalıyız. Ayrıca, her yıl mükemmel açık kaynaklı yazılımlar piyasaya sürenlere uygun ekonomik ödüller sağlamak için de çalışmalıyız. Düşünceli bir yaklaşımla, açık kaynağın kalbindeki bireysel özgürlük ve yaratıcılık ile modern dünyanın gerektirdiği titizlik ve güvenliği dengeleyebiliriz.
Chad Whitacre, uygulama performansı izleme ve hata izleme konusunda uzman olan Sentry’de açık kaynak başkanıdır. Kariyeri boyunca bir yazılım mühendisi olan kendisi aynı zamanda diğerlerinin yanı sıra siber güvenlik firması Proofpoint’te de çalıştı.