Geçtiğimiz hafta Rus Linux çekirdek bakımcılarının ABD politikalarına uymak amacıyla kaldırılmasının ardından, orijinal Linux çekirdeğinin geliştiricisi Linus Torvalds, Linux çekirdeğine potansiyel olarak sızabilecek çok sayıda Rus trolünün bulunduğu yönündeki endişelerini dile getirdi.
Bakım sağlayıcıları engelleme kararı, açık kaynaklı XY Utils yazılım kütüphanesinin, hizmet sağlayıcısını hedef alan bir sosyal mühendislik saldırısı nedeniyle tehlikeye atılmasının ardından geldi.
“Değişikliğin neden yapıldığı tamamen açık. Torvalds, çekirdek kodunun korunmasına yardımcı olan alıcılardan oluşan Linux yama listesine gönderdiği bir mesajda, geri alınmıyor ve Rus trol fabrikaları tarafından ‘genel olarak kök salmaya’ çalışmak için birden fazla rastgele anonim hesabın kullanılması hiçbir şeyi değiştirmeyecek,” diye yazdı Torvalds .
Onun sözleri, Rusya karşıtı duygulardan, kararın arkasında Microsoft lobicilerinin olduğu yönündeki spekülasyonlara kadar çok çeşitli yorumlara yol açtı. Ancak bu etkinin, şimdiye kadar büyük ölçüde küresel bir topluluk çabası olarak kabul edilen açık kaynak açısından geniş kapsamlı sonuçları var.
ABD’nin belirli ülkelerdeki kişilerin açık kaynak projelerine katılımını engellemeye yönelik herhangi bir yaptırımı, yalnızca küresel iş birliğini yok etme potansiyeline sahip olmakla kalmıyor, aynı zamanda tüm işletmelerde çalışan yazılım mühendislerinin olası geçmiş kontrollerini de içerecek şekilde daha geniş incelemelere kapı açabilir.
Açık kaynak bakımcılarının güvenlik açığı
Yasak, XY Utils açık kaynak kütüphanesinin çok çalışan bir proje sorumlusunun, projeye başlangıçta katılan ve çeşitli hata düzeltmeleri veya düzeltmeler için çekme talepleri açmaya başlayan Jia Tan adını kullanan bir geliştiriciden yardım aldığı XY Utils olayından birkaç ay sonra geldi. iyileştirmeler. Güven ve güvenilirlik tesis eden geliştirici, depo için izinler almaya başladı. Saldırganlar daha sonra bir sosyal mühendislik saldırısı biçimi olarak sahte şikayetler ve hatalar göndererek projenin asıl geliştiricisine Jia Tan’a proje üzerinde daha fazla kontrol vermesi, izinleri taahhüt etmesi ve sonunda yönetici haklarını serbest bırakması için baskı yaptı.
Görünüşe göre bu izinleri alma çabasının bir parçası olarak Jia Tan, sosyal mühendisliğin ilginç bir biçimini kullandı. Sahte hesaplar, orijinal bakımcıya baskı yapmak için sayısız özellik isteği ve hatalarla ilgili şikayet göndermek için kullanıldı ve sonunda Jia Tan’ın depoya eklenmesine neden oldu.
Jia Tan’ın getirdiği değişikliklerden biri, XY Utils’teki gelişmiş bir arka kapıydı.
Kararın arkasındaki mantığı bilmiyorum [to block the Russian maintainers]. Kötü aktör olmayan insanlar küresel işbirliğinin dışında tutuluyor ve bu son derece sorunlu. Bu bir kutu solucan
Amanda Brock, OpenUK
Ancak Rus idareciler yanlış bir şey yapmış gibi görünmüyor. OpenUK CEO’su Amanda Brock şunları söyledi: “Kararın ardındaki mantığı bilmiyorum. Kötü aktör olmayan insanlar küresel işbirliğinin dışında tutuluyor ve bu son derece sorunlu. Bu bir kutu solucan.”
Açık kaynak kodunun lisanslanması, onun herkes tarafından herhangi bir amaç için kullanılabileceği anlamına gelir. “Açık kaynakta geçirdiğim 16 ila 17 yıllık hayatımda, ilk kez bir insan kategorisinin kısıtlandığını görüyorum” diye ekledi.
İhracat kontrolüne ilişkin, şifreleme yazılımı gibi teknolojilerin ihraç edilmesini engelleyen kurallar vardır. Bu yılın başlarında ABD Dış Varlıklar Kontrol Ofisi, Başkan Joe Biden’ın Rusya ve Rus işletmelerine yaptırımlar uygulayan idari emri hakkında bir kılavuz yayınladı. Belirli yazılım ve BT danışmanlık hizmetleri kategorileri kapsanmaktadır; bu, bunların Rusya’da sağlanamayacağı anlamına gelir. Yaptırımlar aynı zamanda bazı Rus işletmelerini de kapsıyor.
Linux Vakfı yasakla ilgili daha fazla ayrıntı yayınlamamasına rağmen, yasaklanan Rus bakımcıların bu kuruluşlarda çalışmış olabileceğine inanılıyor.
Brock’un belirttiği gibi, ihracat kontrolleri yazılımın dağıtımını kısıtlasa da kod çoğu zaman bir ayna sitesinde mevcuttur. “Yaptırımlar farklıdır” diye ekledi. “Eğer bir işletme yaptırım listesindeyse, o işletmeyle belirli şekillerde ticari olarak ilgilenemezsiniz ve tartışmalardan anladığım kadarıyla [I’ve seen] 11 kişiye bakımcı listesinde yer alamayacaklarının söylenmesidir.”
Brock’un bu kişilerin neden hariç tutulduğuna dair anlayışı, işverenlerinin ABD’nin yaptırım listesine tabi olduğu yönünde.
Hariç tutma diğer ilgili ülkeleri etkileyebilir
“Bildiğim kadarıyla bu insanlar yanlış bir şey yapmadılar. Onlar, ABD hükümetinin dışlamak istediği insanlardan oluşuyor çünkü işverenlerinin Rusya ile bağlantıları olduğuna inanıyorum, bu da onların dışlanması gerektiği anlamına geliyor.”
Brock’a göre, 11 Rus bakımcıyı yasaklama kararı, giderek karmaşık mevzuata ve yasal kısıtlamalara tabi olan açık kaynak kodu açısından sonuçlar doğuruyor.
Örneğin ABD ve İngiltere, Huawei gibi Çinli teknoloji firmalarına yaptırımlar uyguladı. Ancak araştırmalar, Çin’in dünyadaki en büyük ikinci açık kaynak yazılım geliştiricileri topluluğuna sahip olduğunu gösteriyor. Açık kaynak yazılımın coğrafyası 2021’de yayınlanan araştırma makalesi GitHub’daki geliştiricileri analiz etti. ABD, GitHub’u kullanan en fazla geliştirici sayısına sahipken, Çin ikinci en büyük geliştiriciye sahipti.
“Çin özellikle ilgi çekici çünkü ABD’nin endişe duyduğu ülkeler listesinin üst sıralarında yer alıyor. Ancak aynı zamanda büyük ölçekte açık kaynakla ilgilenme kararı aldı ve bu bilinçli ve hükümet destekli bir karar” dedi Brock.
Brock, Çinli şirketlerin hem bağışçılar hem de vakıflara yapılan yatırımlar açısından geniş ölçekte açık kaynak fonu sağladığına dikkat çekti.
Çinli katkıda bulunanlar tarafından yürütülen projeler arasında Kubernetes’in uç bilişimde kullanılmasına olanak sağlayan KubeEdge; Kubernetes için bulutta yerel bir kayıt defteri olan Habor; ve bir dosya dağıtım ve görüntü hızlandırma sistemi olan Dragonfly.
Açık kaynak teknolojisine dayanan Çin yazılımları, günümüzde kullanılan akıllı cihazların birçoğuna da yerleştirilmiştir.
Birleşik Krallık hükümeti, mobil telekom sağlayıcılarını Huawei ekipmanlarını Birleşik Krallık’ın mobil ağlarından çıkarmaya zorladı. Brock, mobil ağlardaki kodun açık kaynak olduğuna ve Çinli katkıcıların da bulunabileceğine dikkat çekerek şunları ekledi: “Bu konuda ne kadar ileri gideceğiz? Nerede başlayıp nerede bitiyor?”
Ticari bir üründe “ilgili ülkelerden” alınan hiçbir geliştirici kodunun yer almamasını sağlamak için ABD ve diğer hükümetlerin özel mülk yazılım sağlayıcılarını aynı hesapta tutup tutmayacağını sorguladı. Brock, bu tür bir uyumluluğun uygulanması için her ticari yazılım sağlayıcısının tüm sözleşmelerini ve lisanslarını değiştirmesini gerektireceğini ve çok az kuruluşun, açık kaynak yazılımların faaliyet gösterdikleri her bölgedeki düzenlemelere uygun olmasını sağlamak için uluslararası hukuk ekiplerine fon sağlayacak kadar büyük olduğunu söyledi.
Linux Vakfı’nın Rus geliştiricileri yasaklama kararı büyük olasılıkla ABD yönetimiyle olası bir çatışmayı önlemek için verilen hukuki tavsiyeye bir yanıttır. Jeopolitik gerilimin artmasıyla birlikte, diğer ülkelerdeki açık kaynak yazılım geliştiricilerinin ve bakımcılarının da kendilerinin de açık kaynak projelerine katkıda bulunmaktan ve onları desteklemekten alıkonulması riski ortaya çıkıyor.