aacid: Na zaklade veci, ktore som cital, tak problem xz by financovanie nevyriesilo, o com vlastne hovoris aj ty. Tak moju odpoved skusim rozdelit na dve casti. myslim, ze poslednych 10-15 rokov zazivam zlaty vek FOSS, no ten je teraz v krize, vysvtlim.
Financovanie - aj ty spominas, ze na tom softveri by mali particpovat aj jeho pouzivatelia. Ako mohli by a mnohe velke firmy to aj robia (ale to ta neochrani od veci ako xz). Len myslienky FOSS vznikli ked bol softver o niekolko radov jednoduchsi, dnes uz ani z hlavy netusis ake kniznice pouziva tvoja jednoducha webova stranka (bezne SPA ma okolo tisicky zavislosti na frondende a desiatky na backende), to nehovorim o tom co je na operacnom systeme, za mna je takzo predstavitelne, ze by clovek co to vsteko vyuziva mal prehlad o tom, co v tych knizniciach je a nie na to aby to este fixol dobre.
Navyse tie licencie pri tomto softveri ta k nicomu nezavezuju, a ako pouzivatel nemas ani len moralnu povinnost ich akokolvek podporit. Sami tvorcovia ten kod poskytli zadarmo. Pre komercne subjekty z kratkodobeho hladiska tam prispievat su len zvysne naklady bez zjavnych vyhod. (Potom tu mame firmy, ktore tam prispievaju a vo velkom, lebo chcu ovplivnit smerovanie daneho softveru.)
Ja FOSS, tak ako je nastevny teraz, nepovazujem za dlhodobo financne udrzatelny, nieco sa v nom bude musiet zmenit. Prikladom je to co sa deje posledne roky: ovladnutie a zarezanie CentOs Rethatom, a mnohe dolezite komponenty prestali byt FOSS: MongoDb, Hasicorp Vault, Terraform, ElasticSerach a teraz naposledy aj Redis. Z kazdeho vzniklo asi tak 15 forkov, ale v sucansosti nie su moc zive.
Utoky typu xz - pod lampou byva najvetsia tma. Tu na to nahadzat viac penazi nepomoze. Podla toho co som cital, tak spravca xz uz na ten repoziter nemal vela casu, sucasne to bol uz len udrzovaci vyvoj. A utocnik na tom pracoval rok a prispieval dobrym kodom, teda si spravil dobre meno. No samotny utok bol dost na hulvata. Keby to spiravia rafinovajsie, tak na to nik nepride. Tato zmena sa uz dostala do mnohych rolling a unstable distribucii a nik si to nevsimol. Odhalil to nakoniec az clovek s Microsoftu, ktory priamo z xz nic nemal (ta ironia). Keby boli utocnici sikovnejsi, tak to spravia tak, ze dostanu neskodne vyzerajuce zmeny do programu, o par mesiacov neskor ine neksodne vyzerajuce zmeny do jednej z jeho zavislosti. Obe tieto veci prejdu cez code review, no spolu vytvoria bezpnostnu dieru a ked sa na to pride, tak to bude vyzerat ako bug a nie cieleny utok.
Ja si myslism, ze v softveri, ktory pouzivame je takychto umyslnych chyb niekolko. Preco? Lebo zlocinecke skupiny, trojpismenkove agentury, Cina, Rusko by boli hlupe keby to nevyuzili, pretoze je to relativne jednoduchy a sucasne relativne lacny sposob ako to spravit. Dokonca myslim, ze je to moze byt lacnejsie ako hladat Zero Day zranitelnosti.
Toto nie je prvy pripad, varovanie sme dostali uz pred par rokmi, ked nejaky studenti vramci vyskumu dostali do linuxoveho jadra potencialne nebezpecny kod. Napisali o tom vedecky clanok a upozornili na to. No namiesto zmeny procesov schvalovania kodu dostal univerzitny email u
nich ban.
A celkovo bezpenost, vetcina ludi povazuje OSS kod za bezpecny, tym sa o jeho bezpenost moc nestaraju a kazdy si povie, ze to uz spravil niekto iny. Ako kazdy sa nan moze pozriet, ale to neznamena, ze to niekto aj urobil, a ked sa nan niekto pozrie, tak to neznamena, ze v binarkach je presne to co je v kode. A tu sme aj pri financnej motivacii. Bezny programator ani security inzinier nie su nijako financne motivovany hladat v nejakej kniznici chyby. Zatial co utocnik na to ma dobru financu motivaciu.
V tieto moje uvahy su dlhe a urcite som nieco zabudol.