Microsoft’un ChatGPT’ye yaptığı milyarlarca yatırıma işaret edecek ve açık kaynağın benzer şeyler yapma yeteneğine sahip olup olmadığını sorgulayacak bazı işletme ve BT liderleri var. Spotify’da açık kaynak teknoloji lideri Per Ploug, öyle düşünüyor. Açık kaynakta zaman içinde muazzam miktarda yenilik ve bilgi oluştuğunu söylüyor. Bu artık metalaştırılıyor.
Örnek olarak Ploug, yapay zeka (AI) tabanlı açık kaynaklı bir görüntü oluşturma aracına işaret ediyor. “Bu aracı anlamak için bir makine öğrenimi doktorası olmanıza gerek yok, ancak çok büyük miktarda yeniliği temsil ediyor” diyor. Araç, açık kaynak topluluğunun AI bilgi birikimini, herhangi bir kullanıcının bir Linux terminal ekranı aracılığıyla çalıştırabileceği basit bir komutta etkili bir şekilde birleştirir.
Ancak iş dünyası ve BT liderleri, açık kaynağın güvenlik zafiyetlerine de işaret edecekler.
Ploug, Log4J güvenlik açığını yöneten bir BT güvenlik ekibinin parçasıydı. “Boş zamanlarını bu proje üzerinde harcayan bu kötü bakımcıların, güvenlik şirketlerinin ve büyük şirketlerin bu işi yeterince hızlı halletmedikleri için onlara bağırmasına nasıl bunaldıklarını görmek ilginç,” diyor.
İnsanlar boş zamanlarını açık kaynak kodunu sürdürmek için kullanmayı tercih ediyor, çünkü bunu yapmayı seviyorlar. Ancak Ploug, “insanların tutkuyla çalışması beklentisi, açık kaynak sorununun bir parçasıdır” diyor.
Log4J’den etkilenen ürünleri kullanan büyük işletmelerin, nerede kullanıldığına dair hiçbir fikirleri yoktu. Log4J tarafından istismar edilen savunmasız Java günlük kaydı aracının nerede konuşlandırıldığı hakkında hiçbir fikirleri yoktu. Ploug, “Kendileri nasıl tamir edeceklerini de bilmiyorlardı çünkü bu sadece raftan aldıkları bir şeydi” diyor.
Pek çok şirketin gerçekte nasıl çalıştığını anlamak için zaman ayırmadığını söylüyor ve “onu körü körüne tükettiklerini” iddia ediyor.
Ploug şunları ekliyor: “Bence bu şeyleri nasıl tüketeceğimiz konusunda daha dikkatli olmamız ve teknolojiyi gerçekten anlamamız gerekiyor.” Bunu yaparken, bu tür açık kaynak teknolojisini kullanan kurumsal kullanıcıların yalnızca bir güvenlik açığından veya hatadan nasıl etkilendikleri konusunda daha iyi bir fikre sahip olmayacaklarını, aynı zamanda sorunları kendileri çözmek için daha iyi bir konumda olacaklarını söylüyor.
“Açık kaynak kodu tükettiğinizde, personelinizi de eğitmeye ve bu projelere katkıda bulunmaya başlamalısınız” diye ekliyor.
Şirketlerin açık kaynak projelerini finansal olarak desteklemesi hala yaygın bir uygulama değil. Ploug, açık kaynak kullanan daha fazla şirketin bu tür projeler için finansal destek sunduğunu görmek istiyor.
Açık kaynak güvenlik konularına dönüp baktığında Ploug, yazılım güvenliği tedarik zinciri kavramının açık kaynak için çalıştığına inanmıyor. Açık kaynak kodunun koruyucularına ödeme yapılmadığı için tedarikçi olmadıklarını söylüyor. “Bir tedarik zinciriniz yok.”
Bununla birlikte, projelere sponsorluk yaparak veya bakım yapanları doğrudan desteklemek için gereken teknik bilgiyi geliştirerek, kurumsal kullanıcılar riski azaltmanın ve açık kaynak bileşenlerine dayanan görev açısından kritik uygulamaları korumanın bir yolunu bulur.