من يدفع تكاليف البرمجيات مفتوحة المصدر التي تشغل شبكة الإنترنت؟

6 دقائق
البرمجيات مفتوحة المصدر
حقوق الصورة: إم إس تيك/ جيتي.

حالياً، يعمل فولكان يازيسي لمدة 22 ساعة يومياً بالمجان. 

وهو عضو في مشروع لوغ-4-جي، وهو أداة مفتوحة المصدر ومستخدمة على نطاق واسع لتسجيل النشاط داخل أنواع مختلفة من البرمجيات. وتساعد هذه الأداة على تشغيل قطاعات واسعة من الإنترنت، بما في ذلك التطبيقات التي تتراوح من آي كلاود إلى تويتر، وحالياً، يستميت يازيسي وأصدقاؤه في التصدي لثغرة ضخمة وضعت مليارات الأجهزة في وضع حرج. 

وهذه الثغرة الموجودة في لوغ-4-جي سهلة الاستغلال إلى درجة كبيرة، فبعد إرسال سلسلة خبيثة من المحارف إلى إحدى الآلات المعرضة للاختراق، يستطيع القراصنة تنفيذ أي برنامج عليها. تضمنت بعض أولى الهجمات قيام بعض اليافعين بلصق الرماز البرمجي الخبيث ضمن خوادم لعبة ماينكرافت. وقد بدأ القراصنة، بمن فيهم البعض من المرتبطين بالصين وإيران، بمحاولة استغلال هذه الثغرة في أي آلة تنفذ الرماز البرمجي المعطل يمكنهم العثور عليها.

لوغ-4-جي وأخواتها: لا يوجد حل في الأفق القريب

ولا توجد هناك نهاية واضحة في الأفق لهذا الوضع. إن مشكلة لوغ-4-جي ليست سوى جزءاً من أزمة أمنية طويلة الأمد ويُتوقع أن تدوم لعدة أشهر أو سنوات. وقد قالت جين إيسترلي، وهي مديرة وكالة الأمن السيبراني وحماية البنى التحتية الأميركية، إنها "واحدة من أخطر الثغرات" التي رأتها على الإطلاق.

وبالنسبة لموضوع بهذه الأهمية، قد يتراءى لنا أن أكبر شركات العالم التكنولوجية وأهم الحكومات سارعت إلى التعاقد مع مئات الخبراء برواتب ضخمة لحل هذه المشكلة بسرعة.  

ولكن الحقيقة مختلفة تماماً. حيث إن لوغ-4-جي، والذي لطالما كان جزءاً هاماً من البنية التحتية الأساسية للإنترنت، أُسس كمشروع تطوعي، وما زال يُدار بالمجان إلى حد كبير، على الرغم من أن الكثير من الشركات التي تبلغ قيمتها ملايين ومليارات الدولارات تعتمد عليه وتكسب الأرباح بفضله يومياً. والآن، يعمل يازيسي وفريقه على إصلاحه تقريباً بالمجان.

هذا الوضع الغريب مألوف وروتيني في عالم البرمجيات مفتوحة المصدر، وهي برامج تسمح لأي شخص بتفحصها وتعديلها واستخدام رمازها البرمجي. إنها فكرة مرت عليها عدة عقود، وأصبحت عنصراً اساسياً في عمل الإنترنت. عندما تعمل البرمجيات مفتوحة المصدر، فإنها تمثل نصراً جماعياً. أما عند وقوع مشكلة، فهي مصدر خطر واسع الانتشار.

يقول فيليبو فالسوردا، وهو مطور يعمل على مشاريع مفتوحة المصدر في "جوجل" (Google): "إن البرامج مفتوحة المصدر تشغل الإنترنت، ما يعني أيضاً أنها تشغل عجلة الاقتصاد". وعلى الرغم من هذا، وكما يشرح، "فإنه من المألوف للغاية، حتى بالنسبة لمشاريع البنية التحتية الأساسية، أن يشرف عليها فريق صيانة صغير، أو حتى شخص واحد لا يحصل على أي أتعاب لقاء هذا العمل".

اقرأ أيضاً: شريحة إلكترونية تغير تعليماتها البرمجية آنياً للتصدي للاختراق

لا اعتراف

قال لي يازيسي في رسالة بالبريد الإلكتروني في أول تواصل بيننا: "إن الفريق يعمل على مدار الساعة، أما نوبتي التي تمتد من السادسة صباحاً إلى الرابعة صباحاً (كلا، لا يوجد خطأ في كتابة التوقيت) فقد انتهت للتو".

وفي منتصف أيامه الطويلة، خصص يازيسي بعض الوقت لمواجهة المنتقدين، مغرداً إن "فريق صيانة لوغ-4-جي كان يعمل دون نوم على إجراءات للتخفيف من المشكلة، وإصلاحات، وعمليات توثيق، ودراسة نقاط الضعف والتعرض، والإجابة عن الأسئلة، وغير ذلك، ولكن كل هذا لم يمنع البعض من توجيه الانتقادات الحادة إلينا، بسبب عمل نقوم به دون مقابل، من أجل ميزة لا أحد يحبها، ولكن الإبقاء عليها ضروري بسبب مخاوف التوافقية مع الإصدارات السابقة". 

قبل أن تؤدي ثغرة لوغ-4-جي إلى دفع هذا البرنامج المجهول وواسع الانتشار إلى دائرة الضوء، كان لدى مدير المشروع راف غويرز ثلاثة ممولين صغار وحسب لدعم عمله. يعمل غويرز في مشروع لوغ-4-جي إضافة إلى وظيفة بدوام كامل، وهو مسؤول عن إصلاح الرماز البرمجي المعطل وإخماد هذا الحريق الذي يتسبب بأضرار فادحة بقيمة ملايين الدولارات. إنه حمل هائل بالنسبة لمهمة لا يمكن العمل عليها إلا في أوقات الفراغ.

يقول كريس ويسوبال، وهو رئيس قسم التكنولوجيا في شركة الحماية الأمنية فيراكود، إن ضعف تمويل البرمجيات مفتوحة المصدر يمثل "خطراً جوهرياً على الولايات المتحدة، خصوصاً البنى التحتية الحساسة، والبنوك، والتعاملات المالية". ويكمل قائلاً: "إن النظام البيئي مفتوح المصدر لا يقل أهمية بالنسبة للبنى التحتية الحساسة عن نظامي التشغيل لينكس وويندوز وبروتوكولات الإنترنت الأساسية، وهو ما يجعل منه مصدر خطر أساسي على الإنترنت".

ولكن، كيف وصلت الأمور إلى هذه المرحلة؟ إن الجواب موجود على شكل سؤال آخر: ما الذي يدفع بالشركات التكنولوجية إلى دفع الأموال لقاء شيء يمكن لها أن تحصل عليه مجاناً؟ ولكن الأهمية الكبرى للبرمجيات مفتوحة المصدر تعني أن الوضع الحالي لم يعد مقبولاً.

يقول فالسوردا: "إن العمل التطوعي على البنى التحتية الأساسية ليس بالطريقة المستدامة، لأنه من حق المتطوعين أن يعملوا فقط على الأجزاء المسلية أو المثيرة للاهتمام من هذا (العمل)، ولكن المشروع مفتوح المصدر يحتاج أيضاً إلى اختبارات دقيقة، وعمل هندسي دقيق للإصدار، وتحديد أولويات المشاكل، وتدقيق الجوانب الأمنية، وتدقيق الرماز البرمجي للمساهمين، وقد يجد مسؤول الصيانة أن بعض هذه النواحي تثير لديه الرغبة في العمل، وربما يجد أنها غير مثيرة للاهتمام على الإطلاق".

ومع تزايد الضغوط والانتقادات على فريق لوغ-4-جي، بدأت الأسئلة القديمة المتعلقة بالعدالة في عالم البرمجيات مفتوحة المصدر بالظهور من جديد.

يقول سيكي غولكو، والذي أسس لوغ-4: "إن العدالة تمثل مشكلة حقيقية، فهناك توازن غريب، حيث تستفيد من شيء ما، ولكنك لا تقدم أي شيء بالمقابل". 

إضافة إلى ذلك، فإن العامة يكادون لا يدركون أي شيء حول الدور المهم -والخطورة الكبيرة- للبرمجيات مفتوحة المصدر التي تشغل الإنترنت، والتي تعتمد على العمالة المجانية. وعلى سبيل المثال، فإن التطبيق "أوبن إس إس إل" (OpenSSL) يدعم التشفير، كما أن نظام التشغيل لينكس يشكل البنية الأساسية لمعظم أنظمة التشغيل المستخدمة على نطاق واسع حول العالم، بما فيها أندرويد. 

ويشير غولكو أيضاً إلى مشاكل ضم العاملين الجدد والاحتفاظ بالعاملين في المشاريع مفتوحة المصدر، إذ ليس من السهل أن تجتذب أصحاب الكفاءات وتحافظ عليهم حتى في المشاريع الكبيرة، عندما تتراوح التعويضات بين جزء صغير مما تدفعه الشركات، والصفر. ويمكن لهذا أن يؤثر على الأمن القومي بشكل خطير. 

ففي 2018، قرر المطور الذي أسس المشروع مفتوح المصدر ذائع الصيت ua-parser-js أن يترك العمل، حيث فقد رغبته بالعمل مجاناً. وهذا البرنامج مُستخدم من قبل كبرى الشركات التكنولوجية، مثل جوجل و"أمازون" (Amazon) و"فيسبوك" (Facebook). وبعد ذلك، استلم شخص آخر السيطرة على هذا المشروع، ومن ثم قام باختراقه وإضافة برنامج خبيث إليه لسرقة العملات المشفرة. وفي نهاية المطاف، أصدرت وزارة الأمن الوطني الأميركية تحذيراً للمستخدمين حول هذا الاختراق. وعلى الرغم من آلاف المطورين الذين يستخدمون هذا البرنامج، فقد بلغ التمويل الذي حصل عليه المشروع مقداراً تافهاً لا يتجاوز 41.61 دولار. أما المطور الأصلي، والذي تخلى طوعاً عن السيطرة على المشروع لهذا الشخص المجهول، فقد قال إن الوضع "جنوني".

ولكن مطوري البرامج المهمة الذين يكرسون عدة سنوات من العمل المجاني لا ينتهي بهم المطاف على الدوام إلى نتيجة معدومة. وعلى سبيل المثال، فقد تمكن غولكو من تحويل عمله المجاني على لوغ-4-جي إلى عدة وظائف مربحة في تطوير البرمجيات في المجال المالي. 

وفي الواقع، فإنه من المعتاد أن يساعد العمل على البرمجيات مفتوحة المصدر إلى بناء سيرة ذاتية جيدة وسمعة حسنة تقود في النهاية إلى وظائف مدفوعة. ويمكن أن نشبه هذه الهيكلية بالوظائف التدريبية غير المدفوعة في صناعات أخرى، وهو نظام أصبح الكثيرون، وبشكل متزايد، ينظرون إليه على أنه غير أخلاقي، واستغلالي، ومفيد بشكل غير عادل للأشخاص الذين يستطيعون تحمل تكاليف العمل على حساب من لا يستطيعون ذلك. وبهذا، فقد يؤدي ضعف تمويل العمل مفتوح المصدر إلى أكثر من مجرد مشاكل فنية وتقنية.

اقرأ أيضاً: الحدائق الرقمية تتيح لك تطوير مساحتك الصغيرة الخاصة على الإنترنت

كيف نصلح الوضع الحالي

على الأقل، يبدو أن المشاكل التي أدى إليها هذا الوضع قد بدأت بإثارة الانتباه، وكسب الاعتراف بوجودها.

يقول ويسوبال: "تمثل البرمجيات مفتوحة المصدر أساساً تعتمد عليه الشركات التكنولوجية، والمؤسسات، وأي شخص يكتب البرامج. وحاليّاً، هناك إقرار على أعلى مستويات الحكومة بخطورة هذا الوضع".

تقول إيسترلي وغيرها من الخبراء إن الشركات التكنولوجية يجب أن تحسن من شفافيتها. وسيؤدي اعتماد قانون المواد البرمجية، كما فرضه القرار التنفيذي رقم 2021 حول الأمن السيبراني من الرئيس الأميركي جو بايدن، إلى مساعدة المطورين والمستخدمين بشكل أفضل على استيعاب نقاط الضعف الفعلية عند اكتشاف الثغرات البرمجية.

ويقول فالسوردا، والذي تمكن أيضاً من تحويل عمله مفتوح المصدر إلى مهنة ناجحة، إن وضع هيكلية رسمية واحترافية للعلاقة بين المطورين والشركات التكنولوجية الكبيرة التي تعتمد على عملهم سيكون عاملاً مفيداً وإيجابياً. وينصح فالسوردا بتحويل العمل مفتوح المصدر من مجرد هواية إلى مسار مهني احترافي، بحيث لا تعتمد البنية التحتية الحساسة على وقت فراغ مطور يعمل أيضاً في وظيفة أخرى بدوام كامل. كما يقول إن الشركات يجب أن تطور أنظمة خاصة لتمويل الأشخاص الذين يشرفون على المشاريع مفتوحة المصدر وفقاً لقيمتها السوقية العادلة. 

وقد بدأت بعض الشركات فعلاً بالاعتراف بضرورة هذا الأمر، فقد خصصت جوجل مؤخراً 100 مليون دولار لدعم تطوير البرمجيات مفتوحة المصدر وإصلاح الثغرات.

ويقول ويسوبال إنه يجب اتخاذ المزيد من الإجراءات لتحديد سلامة المشاريع مفتوحة المصدر -هل كان التحديث الأخير منذ أسبوع أو منذ سنتين؟- ومن ثم توجيه دعم منهجي إلى المشاريع الجيدة، وإنهاء المشاريع التي لا يمكن ضمان سلامة عملها. ويهدف مشروع آخر من جوجل، وهو صندوق تحسين التكنولوجيا مفتوحة المصدر، إلى تدقيق وتحسين المشاريع مفتوحة المصدر الحساسة.

ولكن النتائج الكارثية لثغرات لوغ-4-جي تُعتبر مثالاً نموذجياً على مشكلة أكبر حتى،  فهذه الثغرات موجودة في تصميم البرنامج نفسه، ولاكتشافها، نحن بحاجة إلى شخص يفهم التصميم فعلياً. ولكن نموذج "جوائز صيد الثغرات" الحالية، والذي يقوم على الدفع لأشخاص من خارج العمل لقاء دراسة البرنامج والعثور على المشاكل، ليس كافياً في هذه الحالة، لأن الحافز المالي، وببساطة، قد لا يكون كافياً لتطوير هذا النوع من الفهم العميق. 

يقول ويسوبال: "إنه فشل مروع في طريقة عمل السوق". "فنحن نستفيد من الأجزاء الجيدة من البرامج المشتركة، على حين نلقي باللائمة على شخص آخر بسبب الأجزاء السيئة، ولهذا، يجب أن تحظى عمليات اكتشاف المشاكل وإصلاحها بالمزيد من التمويل".

المحتوى محمي