log4j’nin gösterdikleri: Özgür yazılımlar ve tekeller - II

Geçen hafta açık kaynaklı bir günlükleme yazılımı olan log4j’de keşfedilen ve hemen her teknoloji devini etkileyen log4Shell açığının büyüklüğünü aktarmaya çalışmış, tekeller ile açık kaynaklı yazılımlar arasındaki ilişkiyi yeniden tartışmaya ihtiyaç olduğundan bahsetmiştik. log4j krizinin henüz bitmediğini, muhtemelen de kısa sürede bitmeyeceğini ve bilgi teknolojileri dünyasının en azından bir kısmının log4j’nin bir sonucu olarak mecburen geceli gündüzlü çalışmaya devam etmek zorunda kaldığını not düşüp asli tartışmamıza geçebiliriz.  

Açık kaynaklı ve/veya özgür yazılım geliştirme modelleri; kaynak kodu gizlenen sahipli yazılım geliştirme modellerinin kısıtlılıklarını aşmak üzere ortaya çıkmış modeller. Bu modellerde kimi daha güçlü bir kod geliştirme potansiyelini gördü. Eric Steven Raymond 1999’da kaleme aldığı Kathedral ve Pazar makalesinde buna Linus Kanunu adını vererek şöyle formüle ediyordu: “Yeterli sayıda göz baktığında, tüm açıklar basittir.” Kimi ise bu modellerde insanlığın çıkarını görüyor, yazılımını tüm insanlığın çıkarına geliştirmenin yolu olarak kullanıyordu. Bir başka köşede başka bir grup geliştirici için ise bu modeller yeni ticari olanaklar anlamına geliyordu.

Bu yazının kapsamını aşan bu modeller arasındaki felsefi farklılıklar ve tartışmaları şimdilik bir yana bırakalım. Açık kaynak ve özgür yazılım hareketleri bugüne dek oldukça büyük başarılar elde etti. Modern dijital dünyanın altyapısının büyük bir kısmının açık kaynaklı ya da özgür yazılımlardan oluşması bunun en yakın kanıtlarından. Ancak log4j krizinin de yeniden gösterdiği üzere açık kaynak ve özgür yazılım modelleri de çeşitli krizlere gebe. Yüzlerce dev şirket ve belki on binlerce irili ufaklı geliştirici tarafından kullanılan log4j’yi geliştirenler farklı farklı yerlerde çalışan ve ücret dahi almadan bu kütüphaneyi boş zamanlarında geliştiren insanlar. Eric S. Raymond’ın “yeterli sayıda göz”ünü toplayacak kadar çekici gelmeyen ama yine de herkesin kullandığı bir proje özetle. Randal Munroe’nun “Nebraska’dan rastgele biri tarafından kimseden takdir dahi almadan 2003’ten beri geliştirilmeye devam edilen proje”yi modern dijital altyapımızı ayakta tutan bir kolon olarak gösterdiği karikatürünün de acımasız bir hatırlatması log4j vakası.

Teknoloji tekelleri ve devlerinin açık kaynağa ya da özgür yazılıma gerek kod olarak gerekse de maddi olarak katkıları var elbette. Ancak bu katkıların ezici çoğunluğu ya kendilerine doğrudan ciddi fayda sağlayan projelere ya da “halkla ilişkiler” değeri olan işlere gidiyor. Daha küçük, daha az bilinen projelerin ezici çoğunluğu Internet’in temel direklerinden biri haline gelip de hemen herkes tarafından kullanılsa dahi bu tipte katkılardan yoksun olarak devam edebiliyor. Bu yoksunluk halinin doğal sonucu ise geliştiricilerin kodla ancak “yarı zamanlı” veya hobi olarak ilgilenebilmesi.

log4j’den çok daha geniş ekiplere sahip yazılımlarda da ciddi güvenlik açıkları çıkabiliyor. Bu nedenle “log4j, daha fazla kaynağa ve daha geniş bir geliştirici ekibine sahip olsa bu açık daha erken tespit edilebilir miydi?​” sorusuna olumlu yanıt vermek mümkün değil. Benzer şekilde kalabalık ekiplerle geliştirilen gizli kaynaklı ve sahipli kodlar da kritik güvenlik açıklarından muaf değil. Bu nedenle sorunun özünü açık kaynak ve özgür yazılım modellerinde aramak da yetersiz. Aynı denklemin öte yanında ise açık kaynaklı ya da özgür yazılımlardan -çoğunlukla da bir katkı sunmadan- sonuna kadar faydalanan, bu sırada da servetlerine servet katan teknoloji tekelleri duruyor.

İsmail Gökhan Bayram

log4j’nin gösterdikleri: Özgür yazılımlar ve tekeller - I