ओपन सोर्स का अंत? – टेकक्रंच

[ad_1]

कई हफ्ते पहले, लिनक्स समुदाय को ने हिलाकर रख दिया था परेशान करने वाली खबर कि मिनेसोटा विश्वविद्यालय के शोधकर्ताओं ने विकसित किया था (लेकिन, जैसा कि यह निकला, पूरी तरह से निष्पादित नहीं) लिनक्स कर्नेल के लिए “पाखंडी काम करता है” को पेश करने के लिए एक विधि – यह विचार कठिन-से-पता लगाने वाले व्यवहारों को वितरित करने का विचार है, जो स्वयं में अर्थहीन है , जिसे बाद में कमजोरियों को प्रकट करने के लिए हमलावरों द्वारा संरेखित किया जा सकता है।

इसके तुरंत बाद – कुछ अर्थों में, समान रूप से परेशान करने वाली – घोषणा की गई कि विश्वविद्यालय को कर्नेल विकास में योगदान करने से कम से कम अस्थायी रूप से प्रतिबंधित कर दिया गया था। ए सार्वजनिक माफी शोधकर्ताओं से पीछा किया।

हालांकि शोषण विकास और प्रकटीकरण अक्सर गड़बड़ होता है, दुनिया के सबसे बड़े और सबसे महत्वपूर्ण ओपन-सोर्स प्रोजेक्ट के खिलाफ तकनीकी रूप से जटिल “रेड टीम” प्रोग्राम चलाना थोड़ा अतिरिक्त लगता है। इस तरह के व्यवहार के संभावित विशाल विस्फोट त्रिज्या को समझने के लिए शोधकर्ताओं और संस्थानों की इतनी भोली या अपमानजनक कल्पना करना कठिन है।

समान रूप से निश्चित, अनुरक्षक और परियोजना प्रशासन नीति को लागू करने और अपना समय बर्बाद करने से बचने के लिए बाध्य हैं। सामान्य ज्ञान से पता चलता है (और उपयोगकर्ता मांग करते हैं) वे कर्नेल रिलीज का उत्पादन करने का प्रयास करते हैं जिसमें शोषण नहीं होता है। लेकिन संदेशवाहक को मारने से कम से कम कुछ बिंदु याद आ जाते हैं – कि यह शुद्ध द्वेष के बजाय शोध था, और यह एक प्रकार के सॉफ़्टवेयर (और संगठनात्मक) भेद्यता पर प्रकाश डालता है जो तकनीकी और प्रणालीगत शमन के लिए भीख माँगता है।

लिनक्स कर्नेल के पैमाने और पूरी तरह से महत्वपूर्णता की परियोजनाएं गेम-चेंजिंग, हाइपरस्केल थ्रेट मॉडल के साथ संघर्ष करने के लिए तैयार नहीं हैं।

मुझे लगता है कि “पाखंडी काम करता है” विरोधाभास हर तरफ, संबंधित प्रवृत्तियों के लक्षण है जो पूरे विस्तारित ओपन-सोर्स पारिस्थितिक तंत्र और उसके उपयोगकर्ताओं को धमकाते हैं। वह पारिस्थितिकी तंत्र लंबे समय से पैमाने, जटिलता और मुक्त और मुक्त स्रोत सॉफ़्टवेयर (FOSS) की समस्याओं से जूझ रहा है, जो हर तरह के मानव उपक्रम के लिए महत्वपूर्ण रूप से महत्वपूर्ण है। आइए समस्याओं के उस जटिल को देखें:

  • सबसे बड़ी ओपन-सोर्स परियोजनाएं अब बड़े लक्ष्य पेश करती हैं।
  • उनकी जटिलता और गति उस पैमाने से आगे बढ़ गई है जहां पारंपरिक “आम” दृष्टिकोण या उससे भी अधिक विकसित शासन मॉडल सामना कर सकते हैं।
  • वे एक दूसरे को कमोडिटी बनाने के लिए विकसित हो रहे हैं। उदाहरण के लिए, स्पष्ट रूप से यह बताना कठिन होता जा रहा है कि वितरित अनुप्रयोगों के लिए “लिनक्स” या “कुबेरनेट्स” को “ऑपरेटिंग सिस्टम” के रूप में माना जाना चाहिए या नहीं। लाभकारी संगठनों ने इस पर ध्यान दिया है और “पूर्ण-स्टैक” पोर्टफोलियो और कथाओं को पुनर्गठित करना शुरू कर दिया है।
  • ऐसा करने में, कुछ लाभकारी संगठनों ने एफओएसएस भागीदारी के पारंपरिक पैटर्न को विकृत करना शुरू कर दिया है। कई प्रयोग चल रहे हैं। इस बीच, एफओएसएस और अन्य मेट्रिक्स के लिए फंडिंग, हेडकाउंट प्रतिबद्धताओं में गिरावट आई है।
  • ओएसएस परियोजनाएं और पारिस्थितिकी तंत्र विविध तरीकों से अपना रहे हैं, कभी-कभी लाभकारी संगठनों के लिए घर पर महसूस करना या भागीदारी से लाभ देखना मुश्किल हो जाता है।

इस बीच, खतरे का परिदृश्य विकसित होता रहता है:

  • हमलावर बड़े, होशियार, तेज और अधिक धैर्यवान होते हैं, जो लंबे खेल, आपूर्ति-श्रृंखला तोड़फोड़ आदि की ओर ले जाते हैं।
  • हमले पहले से कहीं अधिक आर्थिक, आर्थिक और राजनीतिक रूप से लाभदायक हैं।
  • उपयोगकर्ता पहले से कहीं अधिक वैक्टर के संपर्क में आने से अधिक असुरक्षित हैं।
  • सार्वजनिक बादलों के बढ़ते उपयोग से तकनीकी और संगठनात्मक मोनोकल्चर की नई परतें बनती हैं जो हमलों को सक्षम और उचित ठहरा सकती हैं।
  • ओपन-सोर्स सॉफ़्टवेयर से आंशिक रूप से या पूर्ण रूप से इकट्ठे जटिल वाणिज्यिक ऑफ-द-शेल्फ (सीओटीएस) समाधान विस्तृत हमले सतह बनाते हैं जिनके घटक (और इंटरैक्शन) पहुंच योग्य होते हैं और खराब अभिनेताओं द्वारा अच्छी तरह से समझा जाता है।
  • सॉफ़्टवेयर घटककरण नए प्रकार के आपूर्ति-श्रृंखला हमलों को सक्षम बनाता है।
  • इस बीच, यह सब हो रहा है क्योंकि संगठन गैर-रणनीतिक विशेषज्ञता को छोड़ना चाहते हैं, पूंजीगत व्यय को परिचालन खर्चों में स्थानांतरित करना चाहते हैं और सुरक्षा की कड़ी मेहनत करने के लिए क्लाउड विक्रेताओं और अन्य संस्थाओं पर निर्भर होने के लिए विकसित होते हैं।

शुद्ध परिणाम यह है कि लिनक्स कर्नेल के पैमाने और पूरी तरह से महत्वपूर्णता की परियोजनाएं गेम-चेंजिंग, हाइपरस्केल थ्रेट मॉडल के साथ संघर्ष करने के लिए तैयार नहीं हैं। जिस विशिष्ट मामले में हम यहां जांच कर रहे हैं, शोधकर्ता अपेक्षाकृत कम प्रयास के साथ उम्मीदवार घुसपैठ साइटों को लक्षित करने में सक्षम थे (पहले से ही योगदानकर्ता ध्यान की आवश्यकता के रूप में पहचाने गए कोड की इकाइयों का आकलन करने के लिए स्थिर विश्लेषण टूल का उपयोग करके), ईमेल के माध्यम से अनौपचारिक रूप से “सुधार” का प्रस्ताव देते हैं, और शोषण कोड को प्रतिबद्ध होने के कगार पर लाने के लिए विश्वसनीय और लगातार योगदानकर्ताओं के रूप में अपनी स्थापित प्रतिष्ठा सहित कई कारकों का लाभ उठाएं।

यह एक गंभीर विश्वासघात था, एक ट्रस्ट सिस्टम के “अंदरूनी सूत्रों” द्वारा प्रभावी ढंग से, जो ऐतिहासिक रूप से मजबूत और सुरक्षित कर्नेल रिलीज का उत्पादन करने के लिए बहुत अच्छी तरह से काम करता है। विश्वास का दुरुपयोग ही खेल को बदल देता है, और निहित अनुवर्ती आवश्यकता – व्यवस्थित शमन के साथ पारस्परिक मानव विश्वास को मजबूत करने के लिए – बड़े करघे।

लेकिन आप इस तरह की धमकियों का सामना कैसे करते हैं? ज्यादातर मामलों में औपचारिक सत्यापन प्रभावी रूप से असंभव है। स्थैतिक विश्लेषण चतुराई से इंजीनियर घुसपैठ को प्रकट नहीं कर सकता है। परियोजना की गति को बनाए रखा जाना चाहिए (आखिरकार, ठीक करने के लिए ज्ञात बग हैं)। और खतरा विषम है: जैसा कि क्लासिक लाइन जाती है – नीली टीम को हर चीज से बचाने की जरूरत है, लाल टीम को केवल एक बार सफल होने की जरूरत है।

मुझे उपचार के कुछ अवसर दिखाई दे रहे हैं:

  • मोनोकल्चर के प्रसार को सीमित करें। अल्वा लिनक्स और एडब्ल्यूएस के लोचदार खोज के खुले वितरण जैसे सामान अच्छे हैं, आंशिक रूप से क्योंकि वे व्यापक रूप से उपयोग किए जाने वाले एफओएसएस समाधानों को मुक्त और खुला स्रोत रखते हैं, बल्कि इसलिए भी कि वे तकनीकी विविधता को इंजेक्ट करते हैं।
  • मानव कारक पर पूर्ण निर्भरता को कम करने के साथ-साथ लाभकारी कंपनियों को उनकी विशेषज्ञता और अन्य संसाधनों का योगदान करने के लिए प्रोत्साहित करने की दिशा में परियोजना प्रशासन, संगठन और वित्त पोषण का पुनर्मूल्यांकन करें। अधिकांश लाभकारी कंपनियां अपने खुलेपन के कारण ओपन सोर्स में योगदान करने में प्रसन्न होंगी, और इसके बावजूद नहीं, लेकिन कई समुदायों के भीतर, इसके लिए मौजूदा योगदानकर्ताओं के लिए संस्कृति परिवर्तन की आवश्यकता हो सकती है।
  • स्टैक को सरल बनाकर और घटकों को सत्यापित करके कमोडिटीकरण में तेजी लाएं। सुरक्षा के लिए उपयुक्त जिम्मेदारी को एप्लिकेशन लेयर्स में पुश करें।

मूल रूप से, मैं यहां जिस चीज की वकालत कर रहा हूं वह यह है कि कुबेरनेट्स जैसे ऑर्केस्ट्रेटर कम मायने रखते हैं, और लिनक्स का प्रभाव कम होना चाहिए। अंत में, हमें यूनिकर्नल्स जैसी चीजों के उपयोग को औपचारिक रूप देने की दिशा में जितनी जल्दी हो सके आगे बढ़ना चाहिए।

भले ही, हमें यह सुनिश्चित करने की आवश्यकता है कि कंपनियां और व्यक्ति दोनों ही संसाधन प्रदान करते हैं जिन्हें जारी रखने के लिए ओपन सोर्स की आवश्यकता होती है।

[ad_2]

Leave a Reply

Your email address will not be published. Required fields are marked *