تمرکز بر مسائل منبع باز اشتباه

بله، تعداد کمی از شرکت‌ها به کد منبع باز خود مجوز مجدد داده‌اند. بیایید نگران مشکلات واقعی باشیم، مانند امنیت و شرکت‌های بزرگ که تقریباً هیچ کمکی نمی‌کنند.

اگر موضوعات منبع باز را در X/Twitter دنبال می‌کنید، می‌توانید این باور را داشته باشید که امروزه بزرگترین مشکل در منبع باز این است که شرکت‌ها دوباره به کد منبع باز خود تحت مجوزهای مختلف مجوز می‌دهند. برای مثال، تیری کارز، نایب رئیس OSI، اخیراً یک را صادر کرده است. هشدار وحشتناک: “فروشنده تکی انحصاری جدید است.” وحشتناک به نظر می رسد، درست است؟ منظورم این است که وقتی فراموش می کنید اکثریت قریب به اتفاق نرم افزارهایی که من و شما هر روز روی تلفن ها، لپ تاپ ها، سرورها و غیره خود استفاده می کنیم، اختصاصی هستند. (بله، با مقدار زیادی منبع باز مدفون در داخل و به طور موثر “مجوز مجدد” دریافت شده است.)

در اینجا فقط کمی اطلاعات وجود دارد که این نگرانی‌ها را احمقانه نشان می‌دهد: از بیش از ۱۰۰۰۰ شرکتی که در پروژه‌های بنیاد لینوکس (و به طور کلی منبع باز) شرکت می‌کنند، دقیقاً ۱۴ رویداد صدور مجوز مجدد تک فروشنده. بله، ۱۴. و از آن ۱۴ مورد، علیرغم تمام جوهر دیجیتالی که ما در مورد نیاز حیاتی به چنگال برای حفظ آزادی صحبت می کنیم، تنها سه مورد از آنها چنگال شده است. باز هم، ۱۴ پروژه/مخزن از ۱۶۲ میلیون گزارش‌های GitHub است.< /p>

به عبارت دیگر، زمانی که مشکلات اساسی و مهمی در منبع باز وجود دارد که نیاز به رفع دارد، ما روی موارد بسیار کمی از لبه‌ها رفع می‌کنیم.

یک سوال در مورد اعتماد

بازیگران بد ماهیت نحوه عملکرد متن باز را شگفت زده می کنند. نکته شگفت انگیز در مورد منبع باز این است که هر کسی می تواند شرکت کند، اما این نیز می تواند یک ضعف باشد. همانطور که اخیراً با XZ دیدیم Utils اکسپلویت و اخیراً با یک حمله مشابه، بازیگران بد پیچیده (شاید با حمایت دولت‌های ملت) از فرآیند مشارکت منبع باز استاندارد برای نفوذ به پروژه‌های نسبتا مبهم اما پرکاربرد استفاده می‌کنند.

تشخیص چنین تاکتیک‌های مهندسی اجتماعی با توجه به سطح حمله تقریباً نامتناهی که منبع باز ارائه می‌دهد و ماهیت پیچیده حملات اخیر (که در زمان اجرا ظاهر می‌شوند) دشوار است. البته، ماهیت باز به این معنی است که شناسایی مشکلات و رفع آنها ممکن است آسان تر از نرم افزارهای اختصاصی باشد. اما با توسعه دهندگان از جمله کد منبع باز در نزدیک به ۱۰۰ ٪ از همه نرم افزارها، از جمله اختصاصی، تشخیص همه مشکلات به یک بازی جدی Whac-A-Mole تبدیل می شود.

بنیاد لینوکس و دیگران در حال حاضر روی راه‌هایی کار می‌کنند تا راه‌های جدیدی را برای تقویت اعتماد در فرآیند منبع باز معرفی کنند. ایده‌های آنها باید برای تلاش‌های اخیر برای بهره‌برداری از بسته‌های منبع باز، جایی که مشارکت‌های تازه واردان به پروژه در شرایط مشکوک پیشنهاد شده‌اند، کار کند. اما آیا اکسپلویت XZ Utils را که در طی سال‌ها اتفاق افتاد، متوقف می‌کرد؟ این احتمال کمتر به نظر می رسد.

تلاش برای بهبود فرآیندهای منبع باز نیز به دلیل ماهیت اکثر نرم افزارهای منبع باز پیچیده است: این نرم افزار توسط یک فروشنده یا حتی یک جامعه از فروشندگان نوشته نشده است. این توسط یک توسعه دهنده انفرادی در اوقات فراغتش نوشته شده است. با توجه به این واقعیت ها، چه کاری می توان انجام داد؟ به گفته جک کیبل و آوا بلک، هر دو در آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، این به فروشندگان مربوط می شود که کارهایی را انجام می دهند که برخی از ما سال ها از آن حمایت می کنیم. همانطور که آنها استدلال می کنند، “هر سازنده فناوری که از نرم افزار منبع باز سود می برد، باید سهم خود را با مسئولیت پذیری و مشارکت پایدار در بسته های منبع باز که به آنها وابسته هستند انجام دهد.”

من اضافه می‌کنم که شاید باید از بالا شروع کنیم، با فروشندگانی که بیشترین استفاده را از منبع باز می‌برند، اما گاهی اوقات کمترین را می‌دهند. بله، شرکت‌های ابری تریلیون دلاری ده‌ها میلیارد دلار از منبع باز کسب می‌کنند اما به سختی می‌توانند ده‌ها هزار خط کد برای هر پروژه معین جمع‌آوری کنند. آیا می خواهید امنیت منبع باز یک شبه بهبود یابد؟ همانطور که CISA پیشنهاد می‌کند، فروشندگان را برای بازپرداخت مسئول نگه دارید.

در دسترس قرار دادن هوش مصنوعی منبع باز

یک مشکل بزرگ دیگر: هوش مصنوعی. یا بهتر بگوییم دشواری استفاده از منبع باز برای هوش مصنوعی. من در اینجا وارد جزئیات نمی شوم زیرا قبلاً این کار را طولانی انجام داده ام (به اینجا یا اینجا مراجعه کنید)، اما مشکل دسترسی در هوش مصنوعی نیز وجود دارد. با یک برآورد، برای OpenAI 78 میلیون دلار برای آموزش GPT-4 هزینه کرد و Google 191 میلیون دلار برای آموزش هزینه کرد. مدل Gemini Ultra آن. البته اینها تنها مدلهای زبان بزرگ نیستند. بسیاری از مدل‌های هوش مصنوعی «منبع باز» وجود دارد (در نقل قول‌های هوایی، زیرا حتی با تأیید OSI، هنوز مشخص نشده است که منبع باز در هوش مصنوعی چه معنایی دارد). در صورتی که فقط ثروتمندترین شرکت ها بتوانند از آن استفاده کنند، هنوز مورد بحث است که آیا کد واقعاً باز است یا خیر.

البته این مشکل جدیدی نیست. دقیقا همین مسئله گریبان ابر را گرفته است. نزدیک به ۲۰ سال پیش از مدیران منبع باز گوگل و یاهو پرسیدم! چرا کد بیشتری ارائه نکردند. آنها به حق تحقیر کردند. هر دو شرکت از پیشتازان مشارکت‌های منبع باز بودند، اما یکی از آنها در واقع گفت: «حتی اگر ما زیرساخت‌های خود را منبع باز کنیم، نمی‌توانید از آن استفاده کنید زیرا منابع لازم برای انجام هر کاری با آن را ندارید.»

در فضای ابری ما راه‌هایی را برای دور زدن این موضوع کشف کرده‌ایم (مثلاً Kubernetes)، و امیدواریم چیزی مشابه با هوش مصنوعی ببینیم. با این حال، تا زمانی که این کار را انجام ندهیم، منبع باز در هوش مصنوعی ممکن است مانند قرار دادن کد در یک موزه باشد. می توانید نگاه کنید، اما هیچ راه عملی برای لمس کد یا استفاده از آن وجود ندارد.

بازگشت به محل مرکزی من. ما می‌توانیم زمان خود را صرف فشار دادن به تعداد بی‌نهایت پروژه‌های منبع باز با مجوز مجدد کنیم تا بهتر بتوانند در امنیت و نوآوری مستمر سرمایه‌گذاری کنند (افشای: من برای یکی از این موارد کار می‌کنم)، و می‌توانیم اظهارات موجی دستی در مورد آن داشته باشیم. “هوش مصنوعی منبع باز” بدون تعریف آن یا مفید ساختن آن برای توسعه دهندگان رتبه و فایل (و/یا کارفرمایان آنها). یا می‌توانیم کار سخت‌تر و مهم‌تر را انجام دهیم، یعنی بفهمیم چگونه می‌توانیم منبع باز را برای همه افراد روی کره زمین امن‌تر کنیم و اطمینان حاصل کنیم که هوش مصنوعی فقط برای ثروتمندترین شرکت‌ها نیست. این کار سخت تر، سود واقعی اجتماعی را به همراه خواهد داشت. اولی – حداکثر – شما را در X/Twitter تحسین می کند.