- PVSM.RU - https://www.pvsm.ru -

Обсуждение: работа интернета держится на open source — какие аргументы есть у критиков

Обсуждаем трудности, которые стоят перед разработчиками открытого ПО, и то, как сложности, с которыми им приходится сталкиваться, влияют на ИТ-экосистему в целом.

Обсуждение: работа интернета держится на open source — какие аргументы есть у критиков - 1 [1]
Фото — James Sutton [2] — Unsplash

Open source — основа интернета

По данным [3] Linux Foundation, 72% компаний из Fortune 2000 используют open source инструменты для решения своих задач. При этом 55% задействуют открытый код в коммерческих продуктах. Открытое ПО распространено в дата-центрах — например, с ним работают [4] Facebook, Rackspace, NASA и AT&T [5]. Ряд облачных провайдеров и ИТ-компаний даже основал организацию Open Compute Project [6]. Она разрабатывает открытый стандарт архитектуры серверных стоек (Open Rack) и требования к модульному серверу для облачных дата-центров (OpenCloud Server).

Значительная часть популярных open source продуктов — это масштабные проекты вроде Kubernetes, TensorFlow или Ansible. Их разрабатывают и финансируют крупные ИТ-компании. Но есть и небольшие продукты (например, cURL [7]), которые поддерживают энтузиасты. Часто они делают это на добровольной основе и в свободное время. И здесь кроются подводные камни.

Почему такую модель критикуют

Концепция open source подразумевает, что модифицировать исходники и исправлять в них ошибки могут все желающие. Коллективные усилия повышают качество кодовой базы и сокращают число багов. Но к сожалению, эта модель работает не всегда.

Значительную часть изменений в open source проект вносит или маленькая команда, или один мейнтейнер. Например, из 25 тыс. коммитов в репозитории cURL [8], 14 тыс. принадлежат автору — Даниэлю Стенбергу (Daniel Stenberg). Долгое время число разработчиков библиотеки OpenSSL не превышало [9] четырех человек. Большую часть коммитов сделал [10] один из них — Стив Хенсон (Steve Henson). Поэтому в таких условиях легко недоглядеть и «пропустить» баг.

Так, пять лет назад в OpenSSL обнаружили одну из самых крупных уязвимостей в софте — Heartbleed [11]. Она позволяет несанкционированно читать память на сервере или клиенте. Тогда число уязвимых веб-сайтов оценили [12] в полмиллиона. Патч выпустили сразу, но еще в 2017 году работали [13] 200 тыс. сайтов, подверженных Heartbleed.

Обсуждение: работа интернета держится на open source — какие аргументы есть у критиков - 2
Фото — James Sutton [2] — Unsplash

Многие open source проекты испытывают проблемы с финансированием. Тот же OpenSSL существует [9] за счет пожертвований комьюнити и доходов с корпоративных контрактов — сумма не превышает миллиона долларов в год. Бывший CEO проекта говорит [14], что одной из причин появления Heartbleed стал именно недостаток финансирования. Инженерам бывает сложно привлечь средства даже за консультации. По словам [15] Даниэля Стенберга, к нему часто обращаются международные компании с просьбами помочь решить проблему в cURL. Но каждый раз, когда он просит оплатить его работу, беседа почему-то прекращается.

«Иногда разработчики занимаются открытыми проектами в свободное время в качестве хобби. Поэтому неудивительно, что некоторые приложения забрасывают. Если никто не хочет поддерживать проект на плаву, сформированное вокруг него комьюнити распадается.
В худшем случае пользователи системы могут стать целью хакерской атаки. Пример — прошлогодняя атака [16] на npm-модуль event-stream».

Автор проекта, Доминик Тарр (Dominic Tarr), переключился на другие задачи и оставил свое детище без внимания. Некий пользователь предложил взять поддержку модуля на себя.

Тарр согласился и предоставил ему доступ к репозиторию на GitHub и npm. Со временем новый мейнтейнер внедрил [17] в утилиту скрипт, который воровал данные биткоин-кошельков и загружал их на его сервер. Уязвимость затронула большое число пользователей, учитывая, что у event-stream 1,9 млн скачиваний в неделю.

Как исправляют ситуацию

По данным [18] Национального бюро экономических исследований США, главный мотивирующий фактор развития open source — это экономическая выгода. Поэтому разработчики открытого ПО ищут способы его монетизировать. Например, переводят часть модулей на ограничивающие или даже коммерческие лицензии. По этому пути пошли MongoDB, Redis и другие компании.

Подробнее о ситуации мы уже говорили [19]. Разработчики считают, что даже частичная коммерциализация кода позволит открыть дополнительный источник дохода и привлечь новых людей в проект. Но такая модель часто воспринимается ИТ-сообществом в штыки.

Есть мнение, что подход противоречит концепции открытого ПО. При этом он годится не для всех. В 2017 году HTTP/2 веб-сервер Caddy анонсировал [20] коммерческую лицензию. Но по каким-то причинам месяц назад проект вновь вернули [21] в open source.

Обсуждение: работа интернета держится на open source — какие аргументы есть у критиков - 3
Фото — Artem Beliaikin [22] — Unsplash

Мировая интернет-инфраструктура зависит от открытых проектов. Поэтому важно уделять внимание их поддержке. И работа в этом направлении ведется. В Linux Foundation регулярно появляются [23] новые резиденты. Все больше в open source инвестируют [24] крупные компании. Возможно, такие инициативы помогут избежать повторения истории, аналогичной Heartbleed.

Дополнительное чтение в блоге 1cloud.ru:

Обсуждение: работа интернета держится на open source — какие аргументы есть у критиков - 4 Спасет ли облако ультра-бюджетные смартфоны [25]
Обсуждение: работа интернета держится на open source — какие аргументы есть у критиков - 5 Почему Apple изменила требования к разработчикам приложений [26]
Обсуждение: работа интернета держится на open source — какие аргументы есть у критиков - 6 Эволюция архитектуры облака 1cloud [27]

Обсуждение: работа интернета держится на open source — какие аргументы есть у критиков - 7 Что нового в Linux kernel 5.3 — графические драйверы, виртуализация и другие обновления [28]
Обсуждение: работа интернета держится на open source — какие аргументы есть у критиков - 8 Почему разработчики мейнстрим-браузера снова отказались от отображения поддомена [29]
Обсуждение: работа интернета держится на open source — какие аргументы есть у критиков - 9 Почему Apple изменила требования к разработчикам приложений [26]

Автор: 1cloud

Источник [30]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/open-source/336043

Ссылки в тексте:

[1] Image: https://habr.com/ru/company/1cloud/blog/475164/

[2] James Sutton: https://unsplash.com/photos/mcjvw2570iA

[3] данным: https://www.linuxfoundation.org/uncategorized/2018/08/corporate-open-source-programs-are-on-the-rise-as-shared-software-development-becomes-mainstream-for-businesses/

[4] работают: https://www.dotmagazine.online/issues/self-regulation-for-a-better-internet/does-self-regulation-empower-industry/open-source-future-of-dc-hardware

[5] AT&T: http://about.att.com/innovationblog/061714hittingtheopen

[6] Open Compute Project: https://en.wikipedia.org/wiki/Open_Compute_Project

[7] cURL: https://curl.haxx.se/

[8] коммитов в репозитории cURL: https://github.com/curl/curl/graphs/contributors

[9] не превышало: https://www.vice.com/en_us/article/43zak3/the-internet-was-built-on-the-free-labor-of-open-source-developers-is-that-sustainable

[10] сделал: https://www.openssl.org/blog/blog/2017/10/24/steve-henson/

[11] Heartbleed: https://habr.com/ru/company/1cloud/blog/449866/

[12] оценили: https://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html

[13] работали: https://thehackernews.com/2017/01/heartbleed-openssl-vulnerability.html

[14] говорит: http://veridicalsystems.com/blog/of-money-responsibility-and-pride/

[15] словам: https://onezero.medium.com/the-internet-relies-on-people-working-for-free-a79104a68bcc

[16] атака: https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incident

[17] внедрил: https://schneider.dev/blog/event-stream-vulnerability-explained/

[18] данным: https://www.nber.org/papers/w7600.pdf

[19] мы уже говорили: https://habr.com/ru/company/1cloud/blog/472964/

[20] анонсировал: https://news.ycombinator.com/item?id=15237923

[21] вернули: https://github.com/caddyserver/caddy/issues/2786

[22] Artem Beliaikin: https://unsplash.com/@belart84

[23] появляются: https://www.linuxfoundation.org/press-release/2019/04/43-new-members-join-the-linux-foundation-and-increase-their-participation-in-open-source-innovation/

[24] инвестируют: https://www.theverge.com/2018/10/26/17954714/microsoft-github-deal-acquisition-complete

[25] Спасет ли облако ультра-бюджетные смартфоны: https://1cloud.ru/blog/oblako-i-budgetnie-smartfoni?utm_source=habrahabr&utm_medium=cpm&utm_campaign=open&utm_content=blog

[26] Почему Apple изменила требования к разработчикам приложений: https://1cloud.ru/blog/apple-izmenila-trebovania-k-razrabotchikam-prilogenii?utm_source=habrahabr&utm_medium=cpm&utm_campaign=open&utm_content=blog

[27] Эволюция архитектуры облака 1cloud: https://1cloud.ru/blog/our-system-architecture-evolution?utm_source=habrahabr&utm_medium=cpm&utm_campaign=commandtools&utm_content=blogg

[28] Что нового в Linux kernel 5.3 — графические драйверы, виртуализация и другие обновления: https://1cloud.ru/blog/chto-novogo-v-linux-kernel-5-3?utm_source=habrahabr&utm_medium=cpm&utm_campaign=open&utm_content=blog

[29] Почему разработчики мейнстрим-браузера снова отказались от отображения поддомена: https://1cloud.ru/blog/chrome-otkazalis-ot-otobragenia-www?utm_source=habrahabr&utm_medium=cpm&utm_campaign=open&utm_content=blog

[30] Источник: https://habr.com/ru/post/475164/?utm_source=habrahabr&utm_medium=rss&utm_campaign=475164