Was ist in den letzten Tagen passiert mit XZ Utils und FFmpeg weckt große Besorgnis über die Zukunft freier Software. Mir ist klar, dass der Titel nach Clickbait klingt, aber meine Absicht ist es nicht, apokalyptisch zu sein oder Besucher zu generieren, sondern auf eine Tatsache hinzuweisen, die bei vielen Beobachtern Anlass zur Sorge gibt.
Richard Stallman ist ein großartiger Programmierer, aber Menschenkenntnis ist nicht sein Ding. Die Freie-Software-Bewegung erfordert den guten Willen der meisten Teilnehmer, und genau dieser scheint zu fehlen.
Ich mache Stallman nicht dafür verantwortlich, dass er erfolgreich war. Aber wenn die Free Software Foundation wahrscheinlich von jemandem geleitet worden wäre, der besser wüsste, wie die Branche funktioniert, hätten wahrscheinlich Vorkehrungen getroffen werden können, um diese Situationen zu vermeiden.
Über XZ Utils und FFmpeg
Wie bereits im oben genannten Artikel erwähnt, handelt es sich bei XZ Utils um eine Komprimierungsbibliothek, die in den meisten Linux-Distributionen normalerweise enthalten ist. Da der Hauptentwickler erschöpft war, übergab er die Initiative an einen anderen Entwickler, der sich Jian Tao nannte. Ein Programmierer entdeckte, dass Jian Tao Code enthielt, der unter bestimmten Umständen unbefugten Zugriff ermöglichen könnte. Spätere Untersuchungen ergaben, dass er dies bereits in einem anderen Projekt versucht hatte.
FFmpeg ist eine Open-Source-Bibliothek zum Aufzeichnen, Bearbeiten und Transkodieren von Multimedia-Inhalten.
Im Konto Aus dem sozialen Netzwerk X wurde das Projekt veröffentlicht:
Das XZ-Fiasko hat gezeigt, wie die Abhängigkeit von unbezahlten Freiwilligen zu großen Problemen führen kann. Milliardenschwere Unternehmen erwarten kostenlose und dringende Unterstützung von Freiwilligen.
@Microsoft @MicrosoftTeams hat auf einem von Freiwilligen betriebenen Bug-Tracker gepostet, dass ihr Problem „hohe Priorität“ hat.
Nachdem sie Microsoft höflich um einen Supportvertrag für die langfristige Wartung gebeten hatten, boten sie stattdessen eine einmalige Zahlung von einigen tausend Dollar an.Das ist inakzeptabel.
Dies ist nicht das erste Mal, dass ein Freiwilliger ein Sicherheitsproblem verursacht.
Heartbleed war ein ernstes Sicherheitsproblem für die Open-Source-OpenSSL-Bibliothek. Hierbei handelte es sich um eine Schwachstelle, die es Angreifern ermöglichte, den Speicher eines Servers oder Clients zu lesen und so auf vertrauliche Informationen zuzugreifen. im Speicher gespeichert, wie z. B. die privaten SSL-Schlüssel eines Servers.
Die Sicherheitslücke wurde eingeführt ein Patch, den ein Freiwilliger eine Stunde vor Neujahr hochgeladen hat. Vorsätzliche Absichten waren damals nicht zu vermuten.
Der Ursprung des Problems
In den ersten zwei Jahrzehnten dieses Jahrhunderts kam es zu einem Wandel im Geschäftsmodell von Technologieunternehmen, die sich auf Lösungen für große Unternehmen und Organisationen spezialisierten. Traditionell Es basierte auf dem Verkauf physischer Produkte. Hierbei handelt es sich um kombinierte Hardware- und Softwarelösungen, die auf physischen Datenträgern verkauft werden.
Mit der Verbreitung des Internets und der Popularisierung der Cloud verlagerte sich die Rentabilitätsachse vom Verkauf physischer Produkte hin zur Bereitstellung von Dienstleistungen. Unternehmen wie IBM, Red Hat, Oracle und später Ubuntu bauten ein Geschäft auf, das auf Linux und anderen Open-Source-Produkten basierte, indem sie den technischen Support in Rechnung stellten. Im Laufe der Zeit musste Microsoft selbst die Unterstützung für diese Projekte zu seiner eigenen Cloud-Plattform hinzufügen.
Das Problem ist, dass viele dieser Unternehmen von kostenloser und Open-Source-Software profitieren, aber keinen Beitrag leisten. Sowohl meine Kollegen als auch ich haben über die Neuigkeiten mehrerer Projekte berichtet, die ihre Lizenz geändert haben, weil sie von Organisationen, die nichts zurückgeben, zum Geldverdienen genutzt werden.
Diese Kombination aus erschöpften Entwicklern, böser Absicht, Regierungsspionage und Gier ergibt einen gefährlichen Cocktail Dies kann letztendlich zum Ende der Bewegung für freie Software führen, sowohl aufgrund des Mangels an Freiwilligen als auch aufgrund des Verlusts ihrer Glaubwürdigkeit.
Wie kann man das lösen?
Ich denke, dass eine Änderung bei den Lizenzen sowohl für freie als auch für Open-Source-Software vorgenommen werden sollte, um diejenigen, die einen wirtschaftlichen Nutzen erzielen, zu zwingen, zu den Projekten beizutragen, von denen sie profitieren.