Açık kaynak milli güvenlik sorunu haline gelirken

log4j’deki açık nedeni ile yeniden yoğun bir şekilde tartışılmaya başlayan açık kaynak geliştiriciliğin ekonomik sürdürülebilirliği, tekellerle ilişkisi ve bu yazılımların güvenliği tartışmalarına son dört yazıda değinmiştik, esasen konuyu tamamlamıştık. Ancak perşembe günü ABD hükümetinin Beyaz Saray’da teknoloji devleriyle açık kaynağın güvenliği gündemi ile yaptığı toplantı konuyu ele almaya devam etmemizi de gerekli kılıyor.

İşin geldiği noktayı kısaca özetleyecek olursak daha önceki açık kaynak açıklarına log4j vakasının da eklenmesi ile modern dijital dünyanın alt yapısında da önemli bir paya sahip açık kaynaklı yazılımlar ABD hükümeti tarafından bir milli güvenlik problemi olarak görülmeye başlandı. Meselenin ciddi bir sorun olarak ele alınması olumsuz değil elbette, ama çözüm arayışının açık kaynağın geliştirici kitlesi ile değil de Google, Apple, Facebook, Amazon, Microsoft ve Oracle gibi teknoloji devleri ile yürütülmesi en iyi ihtimalde sistemin kritik yerlerine yama yapılacağının da göstergesi. Google’ın toplantı sonrası blogunda açıkladığı önerileri de bu durumu teyit ediyor. Google’ın açık kaynaklı yazılımları güvenli hale getirmek üzere önerileri şöyle:

- Altyapı açısından kritik açık kaynaklı projelerin tespiti

- Açık kaynaklı projeler için güvenlik, bakım ve test prosedürlerinin ana hatlarının belirlenmesi

- Açık kaynaklı projelere kamu ve özel desteğin arttırılması

Google’ın önerilerinden de rahatça anlaşılabileceği üzere şirketler sorunu kendilerine en az masraf ile yamalayacak şekilde konum almaya başlıyor. Google’ın önerdiği gibi bir yamanın şirketlerin sorununu çözse dahi geliştiricilerin sorunlarını çözmenin yakınından dahi geçemeyeceği ise neredeyse kesin.

Tartışmanın diğer kanadında, açık kaynak geliştiriciler arasında ise tepkiler yükselmeye devam ediyor. Bu tepkiler arasında Apache PLC4X geliştiricisi Christofer Dutz’ın salı günü GitHub sayfasında yayımladığı ‘Açık kaynak’ deneme sürümünüzün süresi bitti, lütfen ticari bir plana geçin başlıklı yazısına burada ayrıca değinmekte fayda var.

Endüstride yaygın bir şekilde kullanılan programlanabilir lojik devreler (PLC) için bir kütüphane olan PLC4X’in yaratıcısı Dutz, daha önceki başarısız kaynak bulma girişimlerini ve PLC4X’in endüstride yaygın kullanımını hatırlattıktan sonra şirketler kesenin ağzını açmazsa ücretsiz desteği sonlandıracağını duyuruyor. Eğer PLC4X gibi muhtemelen adını dahi duymadığınız bir kütüphanenin şirketler açısından ne kadar fark yaratabileceğini sorguluyorsanız Dutz’ın ismini vermediği bir şirkette gerçekleştirdiği 20.8 milyon avroluk fark yaratan çalışmasının özeti biraz da olsa fikir sunacaktır.

Açık kaynak geliştiricileri arasında giderek büyümekte olan tepkinin Dutz’ın seçtiğine benzer yollara girmesi ciddi bir olasılık. Böyle bir durumda Unity’nin belirli bir kazanç miktarını geçmediğiniz sürece yazılımı istediğiniz gibi kullanmanıza izin veren lisansı gibi lisanslar giderek daha da yaygınlaşabilir.