Główny deweloper libxml2 stwierdził, że ma dość poganiania w sytuacji, gdy jego kodu używają duże korporacje, a on sam nic z tego nie ma.
Zastanawiam się, co przelało czarę goryczy. Project Zero istnieje od dekady, ale wcześniej nie widziałem negatywnych reakcji na zgłoszenia podatności.
Czuję w kościach, że prawdziwą przyczyną jest AI i wynikające z tego przemiany w braży IT. Kilka lat temu praca nad popularnym projektem dawała perspektywę zatrudnienia przez jakąś firmę. Dzisiaj nie tylko oddajesz za darmo jakiś produkt. Przy okazji dostarczasz też materiału do szkolenia stochastycznej papużki.
Do tego dochodzi kryzys wizerunkowy korporacji, wolących zainwestować w niesprawdzoną technologię, niż zapłacić ludziom za wykonanie pracy.Ostatnio popularny był też rant developera curla na temat wyimaginowanych podatności “znalezionych” przy użyciu LLMa.
W niektórych przypadkach styl zgłoszeń wskazywał, że nie uczestniczył w tym procesie nawet człowiek (ewentualnie był to bezmyślny copy-paste z Gippity bez jakiejkolwiek weryfikacji).Może rozwiazaniem byłoby wprowadzenie cennika usług przez projekty open-source.
Na GitHubie sa narzędzia do sponsorowania deweloperów.Rozwiązaniem jest obudzenie się z romantycznego snu.
Czyli model biznesowy Mongoose https://mongoose.ws/licensing/
Jak robisz hobbystyczny projekt, jesteś na etapie wczesnych prototypów albo robisz coś w celach naukowych, to masz za darmo źródła na GPL. Chcesz wykorzystać w komercyjnym, zamkniętym produkcie, to musisz zapłacić.
Problem polega na tym, że sama publikacja kodu źródłowego w sieci “pozwala” na wykorzystanie go w komercyjnym produkcie (LLMach).
Ostatnio Codeberg potwierdził, że boty Huaweia przełamały zabezpieczenie strony Anubisem i zaczęły skanować kod w repozytoriach.Zresztą firmy nauczyły sie obchodzić GPL minimalnym kosztem, albo po prostu naruszają warunki licencji, bo ich lokalne prawo na to pozwala.
Wielokrotnie widziałem link do nierozwijanej wersji kernela i kilku bibliotek OSS na karteczce dołączonej do chińskiego sprzętu.Na tym chyba polega robienie takich projektów. Na dzieleniu się kodem. Na tym, że na podstawie tego co opublikowałeś może się uczyć lub korzystać twoja przyszła konkurencja. Szczególnie pod tak altruistycznymi licencjami. Takie licencje zostały wymyślone by chronić użytkowników a nie programistów. Oczekiwanie czegoś innego wynika z niezrozumienia idei i ruchu.
Oczywiście w połowie lat 1990 ruch ten został skolonizowany. Więc tym bardziej nie powinno mieć to sensu w takiej formie. To miało sens w formie ludzi z akademii, którzy przeciwstawiają się komercjalizacji oprogramowania, którego używali. Bo oni mieli granty i zatrudnienie w podobnej dziedzinie i dostęp do podwykonawców. Nie musieli się martwić. To czym się zajmowali mogło w tamtych latach być pracą naukową i badaniami.
Wątek i tak jest zły. Jak rozumiem, mamy tu pojedynczą osobę, utrzymującą duży, bezsensowny projekt z którego nic nie ma, oprócz dużej ilości pracy.
Taka działalność nie jest trampoliną kariery programisty. Tak jak śpiewanie na tubie nie jest trampoliną do kariery muzycznej. To, że 1% wyszło, nie znaczy że każdemu. Takie myślenie to jak zakładanie sobie marchewki przed nosem.
Po prostu dzielisz się kodem w interesie jego użytkowników.
Takie licencje zostały wymyślone by chronić użytkowników a nie programistów.
No więc właśnie z tej ochrony powinny korzystać firmy używające open-source.
Nic nie stoi na przeszkodzie, żeby przygotowały sobie łatkę. Mają jeszcze jakichś programistów i dostali kod źródłowy.
GPL działa w obie strony. Zwalnia programistę z obowiązku wspierania software’u.To miało sens w formie ludzi z akademii, którzy przeciwstawiają się komercjalizacji oprogramowania, którego używali.
Stallman nigdy nie przeciwstawiał się komercjalizacji software’u na GPL. Problem w tym, że nawet ta idea została wypaczona.
Sytuacja, w której firma z kapitalizacją kilkuset miliardów $ prosi developera upstreamowego pakietu o darmowe poprawki, jest absurdalna. To jest odwrócenie całego sensu tej licencji.Taka działalność nie jest trampoliną kariery programisty.
Nie jest trampoliną, ale może ułatwić zdobycie pracy. Sporo osób zajmujących się rekrutacją techniczną przegląda kod otwartych projektów podanych w CV. Zawsze jest to dodatkowe źródło wiedzy o umiejętnościach kandydata.
Firmy robią różne rzeczy. Zachowań jest cały przekrój.
Przeciwstawiał się komercjalizacji *nix.
Jeśli ludzie, którzy to zgłosili zajmują się testami i bezpieczeństwem, to co mają zrobić? To informacja dla projektu.
Nie wiem czego ludzie zajmujący się rekrutacją szukają w tym gąszczu przeciętności? Czy ludzie, którzy maja tam perełki muszą szukać pracy? Myślę, że zgłaszają się do nich rekruterzy jak tylko wypłynie informacja, że przestał pracować.
Jeśli się chce zarabiać, to się coś oferuje za pieniądze. Robienie jakiś biernych rzeczy typu opt in, raczej się nie sprawdza. Myślę, że fundacje nie czekają biernie na pieniądze. Mają ludzi, którzy aktywnie pozyskują sponsorów i negocjują.
Idąc tym tokiem rozumowania, to i wydawanie zamknietego softu nie ma sensu, bo ktoś go może spiracić albo przeprowadzić inżynierię wsteczną. To też pewnie byłaby ciężka batalia sądowa, w której mały deweloper starałby się udowodnić, że duże korpo nielegalnie skopiowało jego rozwiązanie problemu.
A tak to taki Mongoose dostał pieniądze chociaż od części swoich komercyjnych użytkowników, którzy stwierdzili, że dla świętego spokoju już lepiej zapłacić niż ryzykować potencjalne problemy.
Takie ryzyko jest chyba w każdej dziedzinie. Dlatego wymyślono patenty, własność intelektualną i prawa autorskie. Twórcy gier indie jakoś sobie radzą. Widać, że marketing gra tu niebagatelną rolę.
