مرة أخرى، سلطت ثغرة أمنية خطيرة الضوء حول واقع المصادر المفتوحة اليوم. الهواة الذين يعملون بدون أجر والذين يحافظون على ما يسمى بـ “مشاريع نبراسكا”، والتي سميت على اسم الكتاب الهزلي XKCD المنتشر الآن في كل مكان، “التبعية”، يتحملون ثقل العالم الحديث على أكتافهم.
تحتوي جميع البرامج على أخطاء، بما في ذلك الثغرات الأمنية الحرجة. يشتهر بائعو الملكية بـ التصحيح الثلاثاء. يبحث البعض عن دليل على أن الدفع للمشرفين يزيد من الأمان، ولكن لنكن صادقين: يقوم هواة المصادر المفتوحة بالفعل بعمل جيد للغاية في إنتاج برامج عالية الجودة. نعم، من خلال جهود مثل OpenSSF، يجب علينا تحديد نقاط الضعف في المكونات الهامة وتحديد أولوياتها وتدقيقها وإصلاحها بشكل استباقي. حوادث مثل تلك التي تؤثر أدوات XZ ينبغي أن يلهمنا للقيام بذلك.
يجب أن تدفعنا حوادث مثل XZ أيضًا إلى التوقف عن إرهاق المشرفين. كان الإرهاق الذي تعرض له مشرف XZ Lasse Collin عاملاً حاسماً في نجاح هجوم الهندسة الاجتماعية XZ. لقد جعله ذلك أكثر عرضة للضغوط لقبول شخصية “جيا تان” كمشرف مشارك. يعد XZ أحد الأعراض البارزة الأخرى لأزمة استدامة المصادر المفتوحة الأساسية.
استدامة المصادر المفتوحة، كما أعرفها، هي “عندما يتمكن أي شخص ذكي ومتحمس من إنتاج برمجيات مفتوحة المصدر ومعتمدة على نطاق واسع والحصول على أموال عادلة دون القفز عبر العوائق”. يتخذ القفز عبر العقبات أشكالًا عديدة: إنشاء شركة استشارية، والعمل على برمجيات احتكارية، وإنتاج محتوى تعليمي. كل هذه الأمور من الممكن أن تدعم عمل الفرد مفتوح المصدر، وهو أمر عظيم، ولكنها لا تدعمه بشكل مباشر. عندما يحين وقت الجد، تخسر المصادر المفتوحة، لأن الحوافز غير متسقة.
وإلى أن نواجه اقتصاديات المصادر المفتوحة ونصلح الحوافز، فسوف نستمر في إرهاق القائمين على الصيانة. المصدر المفتوح يشبه المطعم. معظم الشركات تتناول الطعام وتندفع. ومن الممكن أن تشكل الأساليب القائمة على الضرائب، مثل صناديق التكنولوجيا السيادية، جزءا من الحل. نماذج تقاسم الإيرادات، مثل HeroDevs وOpenJS أعلن مؤخرا، هي نهج واعد آخر. وفي نهاية المطاف، نحتاج إلى قيام الشركات على نطاق واسع في مختلف قطاعات الاقتصاد بتكثيف جهودها ودفع أجور القائمين عليها. ممولي البرمجيات الحرة والمفتوحة المصدر إنها البداية، ولكن هناك الكثير من العمل الذي يتعين القيام به.
إن فتح أبواب الشركات على مصراعيه هو أحد التحديات، وربما هو الأصعب. وخلفه مباشرة سؤال آخر: أين يجب أن تذهب الأموال؟ كيف يمكننا تخصيص التمويل بكفاءة أكبر للمشرفين بطريقة تضمن وجود نظام بيئي مزدهر ومنتج؟ منصات مباشرة إلى الصيانة مثل رعاة جيثب و شكرا. ديف هي إحدى الطرق، ولكن هذا قد يضع عبئًا كبيرًا على الشركات للتعامل مع ذيلها الطويل من تبعياتها. إنني أرى بشكل متزايد أن المؤسسات مفتوحة المصدر تتمتع بفرصة كبيرة هنا. في الواقع، يعمل التشريع الأوروبي الجديد على إضفاء الطابع الرسمي على دورهم كمشرفين على البرمجيات مفتوحة المصدر.
نحن بحاجة إلى تزويد المطورين الأفراد مثل Lassie Collin بمسار واضح يجب اتباعه عندما يحققون النجاح في مشروع مفتوح المصدر. وربما تعمل المؤسسات في المستقبل على تحفيز الابتكار من خلال “الاستحواذ” على المشاريع الشعبية، ودفع المال للمؤلف الأصلي لتولي الصيانة. بعد ذلك، بمجرد دخولك إلى المؤسسة، يمكن لنماذج الحصول على ما تريد أن توفر حوافز اقتصادية متوافقة مع الدافع الجوهري في قلب المصدر المفتوح. أدوات مثل فتح الجماعية النفقات و فرق Liberapay موجودة بالفعل للمساعدة في هذا.
ستظل الحوادث الأمنية مثل XZ معنا دائمًا. وعلينا أن نعمل على التقليل منها. ويتعين علينا أيضاً أن نعمل على توفير المكافآت الاقتصادية المناسبة لأولئك الذين يقومون، سنة بعد سنة، بشحن برمجيات ممتازة مفتوحة المصدر. ومن خلال اتباع نهج مدروس، يمكننا تحقيق التوازن بين الحرية الفردية والإبداع في قلب المصدر المفتوح مع الدقة والأمن الذي يتطلبه العالم الحديث.
تشاد ويتاكر هو رئيس المصادر المفتوحة في خفير، متخصص في مراقبة أداء التطبيقات وتتبع الأخطاء. وهو مهندس برمجيات طوال حياته المهنية، كما أمضى بعض الوقت في العمل في شركة الأمن السيبراني Proofpoint، من بين شركات أخرى.
