بدلاً من الركض مثل المداخن مقطوعة الرأس لأن متطوعين يحتفظون بقطعة مستخدمة على نطاق واسع من البرامج مفتوحة المصدر وبها فجوة هائلة ، تخيل أن تدفع لشخص ما لرعاية مثل هذه البرامج بشكل صحيح.
الصورة: Getty Imagesلقد مر أسبوعان مثيران للاهتمام عند تقاطع Open Source Avenue و Cybersecurity Way ، أولاً مع الموقف حول Log4j ، ثم هذا الأسبوع كان لدى مطور JavaScript ما يكفي وذهب شفتين.
معذرةً بينما أمسك هذه المجموعة من اللآلئ بإحكام شديد حيث يتم استخدام مصطلح ثغرة المصدر المفتوح ، لأنه حيث يبدو أن الحكومات تعتقد أن هناك مشكلة إلكترونية ملحة ، فهي غالبًا ما تكون متعلقة بالتمويل.
كمشروع لشخص واحد على وجه الخصوص ، يعد الإنشاء بموجب ترخيص مفتوح المصدر أمرًا رائعًا عند البدء ، وبالكاد يتم ملاحظته ويمكن للمستخدمين وزملائك المطورين المساعدة في تحسين البرنامج. ولكن عندما يتم تحميل الشركات متعددة الجنسيات والحكومات بشكل حر منه ، لدي بعض التعاطف مع مطور قرر أن دعم شركات Fortune 500 مجانًا يعد جسرًا بعيدًا جدًا.
في حين أن منهجية حقن حلقة لا نهائية ونص zalgo ربما تم طهيها ، فما هي المنظمة ذات الحجم اللائق التي كانت تسحب التعليمات البرمجية وتنفذها دون فحصها أو تشغيلها في بيئة اختبار أولاً؟ إنه لأمر مزعج أن عددًا من تطبيقات Node.js قد تعطل ، لكن لحسن الحظ لم يكن يفعل أي شيء ضار .
يجب أن تفكر المنظمات المتأثرة في هذا الأمر باعتباره فحصًا مجانيًا لسلسلة التوريد عبر الإنترنت والبرمجيات ، بدلاً من الصراخ أكثر في أحد المطورين الذي انتهى من الصراخ في وجهه.
هناك سبب لتلقي XKCD 2347 تمرينًا أكبر من المعتاد في الأشهر الأخيرة ، وذلك لأنه يكشف حقيقة الأمر.
"لقد عملت مع Linux Foundation في مبادرة البنية الأساسية الأساسية التي تدعم OpenSSL ومشاريع أخرى" ، كما يقول أحد التعليقات على موقع Explain XKCD ذي الصلة .
"الشيء الذي أخافني هو محلل XML Expat الذي يديره شخصان بعد ظهر يوم الأحد بالتناوب بافتراض عدم وجود أي مصادر تشتيت للانتباه. لقد حصلنا على تمويل لمجموعة اختبار."
ليس لدي سبب وجيه للشك في هذا التعليق ، لأن هذه هي الطريقة التي تعمل بها المداخن التي تدعم الإنترنت الحديث. في أعماق كل كومة تبعية نهاية الأسبوع.
في حين أن عمالقة التكنولوجيا يجنون المليارات كل ربع سنة ، توجد في مكان ما مكتبة مستخدمة جيدًا لا تتلقى فلسًا واحدًا من عمالقة الصناعة هؤلاء. إنه ليس غير قانوني ، لكنه غني بعض الشيء من جانب الشركات للاستفادة من العمالة المجانية مثل هذا.
في هذا المنعطف ، اعتقدت أن هناك تشابهًا مع شركة تصنيع سيارات تستخدم عملاً تطوعيًا لتصنيع قطع غيار السيارات ، لكنني أدركت بعد ذلك أنه مع كل أنظمة الترفيه الخاصة بالسيارات ، يجب أن تكون هناك بعض المكتبات أو التطبيقات مفتوحة المصدر في مكان ما. هذا هو عالم العشرينيات.
في الأسبوع الماضي ، وصل النقاش إلى النقطة التي تم تصنيفها فيها على أنها "مصدر قلق للأمن القومي" في الولايات المتحدة ، وأرادت كل من Google و IBM قائمة بالمشاريع الهامة مفتوحة المصدر. بينما كانت كلتا الشركتين من بين أفضل الداعمين والممولين للشركات من المصادر المفتوحة ، يجب حقًا وضع هذه القائمة مباشرة في أنظمة المحاسبة الخاصة بكل منهما ودفع مدفوعات كافية كل شهر.
لسوء الحظ ، فإن الأوقات عند تقاطع Open Source Avenue و Cybersecurity Way لديها شعور بالتكرار.
منذ ما يقرب من ثماني سنوات خلال عيب Heartbleed ، قال OpenSSL إن الوقت قد حان لكبار المستخدمين للتدخل والمساعدة في تمويل المشاريع .
في ذلك الوقت ، كان لدى OpenSSL موظف واحد بدوام كامل ، وكان تدفق التبرعات في الأسبوع الذي تلاه قد حقق 9000 دولار فقط.
"يستغرق الأمر أعصابًا فولاذية للعمل لسنوات عديدة على مئات الآلاف من الأسطر من التعليمات البرمجية المعقدة للغاية ، مع كل سطر من التعليمات البرمجية تلمسه مرئيًا للعالم ، مع العلم أن الرموز المستخدمة من قبل البنوك والجدران النارية وأنظمة الأسلحة ومواقع الويب ، قال ستيف ماركيس ، رئيس مؤسسة OpenSSL Software Foundation ، إن الهواتف الذكية ، والصناعة ، والحكومة ، في كل مكان.
"إن الجمع بين الشخصية للتعامل مع هذا النوع من الضغط مع المهارات الفنية والخبرة ذات الصلة للعمل بفعالية على مثل هذه البرامج هو سلعة نادرة ، وأولئك الذين يمتلكونها من المرجح أن يكونوا بالفعل محل تقدير ومكافأة جيدة وحماسة بغيرة مورد لشركة ما أو قضية نبيلة ".
سيحصل OpenSSL في النهاية على بعض التمويل من مبادرة البنية التحتية الأساسية ، والتي ستحل محلها مؤسسة Open Source Security Foundation ، لكنني أشك في أن أيًا من هاتين المنظمتين كانت ستعتبر وحدة node.js أو إطار عمل تسجيل جافا كبنية تحتية مهمة تستحق التمويل والتدقيق.
يجب أن يذهب التمويل إلى ما هو أبعد من مجرد مصطلح "حرج" وأن يتجه أكثر نحو "مستخدم على نطاق واسع ولكنه يعاني من نقص التمويل" ، لأنه مع وجود الثغرة الصحيحة ، يمكن فجأة أن يصبح أي برنامج غير ضار سابقًا أمرًا بالغ الأهمية.
