tl,dr

Intervju s Paulom Sharrattom iz nemške Agencije za digitalno suverenost, ki se ukvarja s financiranjem proste in odprtokodne programske opreme. Če razvijate tovrsten projekt, se lahko prijavite na katerega od programov financiranja.

Študija izvedljivosti programa financiranja odprtih digitalnih temeljnih tehnologij za inovacije in digitalno neodvisnost.

Paul Sharrat je nedavno v soavtorstvu objavil članek o orodjih za meritev učinkovitosti javnega financiranja razvoja odprtokodne programske opreme.

Uvod

Tokratna tema je v liniji financiranja razvoja in širjenja odprte in proste programske opreme, ki ga močno primanjkuje. Ta tema je pravzaprav tudi v rdeča nit naslednjeletne nekonference OFFDEM v Bruslju, ki se bo odvila v začetku februarja. Že v nekaj oddajah sva predstavljala NLNet-ov NGI zero sklad kot steber finančne podpore manjših do srednje velikih projektov proste programske opreme, nedavno pa sva odkrila še en evropski vir – gre za nemški Sovereign Tech Fund, ki je bil nedavno prestrukturiran v Sovereign Tech Agency. Agencija za suvereno tehnologijo namenja sredstva nemške agencije za disruptivno inovacijo ter ministrstva za ekonomske zadeve in podnebno ukrepanje odprtokodnim projektom – s poudarkom na programskih jezikih in orodjih za razvoj programske opreme. Finančno torej podpirajo vzdrževalce in razvijalce odprtega programja, ki je prepoznano kot kritično za vsakodnevno rabo.
Ogromno odprtokodnih projektov je v rabi tako pri končnih uporabnikih neposredno kot v manjših, srednjih ter večjih podjetjih v raznovrstnih sektorjih.
Veliko tovrstnega razvoja sloni na posameznikih, ki jim vzdrževanje programja predstavlja prostočasno dejavnost, kar se vsake toliko časa izkaže kot sistemski problem.

Izpostavimo 3 odmevne primere.

npm paket left-pad

Prvi je iz leta 2016. Mlad razvijalec je protestno umaknil svojih 273 paketov iz npm zbirke javascript paketov, potem ko je sicer privatno podjetje, ki upravlja zbirko npm, služi pa na račun neodprtokodnih vnosov vanjo, od tega razvijalca zahtevala, naj zaradi imena paketa “kik” lastništvo preda podjetju kik.com. Ker je eden izmed njegovih 273 paketov imenovan left-pad, zajema pa sicer pičlih 11 vrstic kode, uporabljalo tisoče drugih projektov, se je razvoj širom sveta ustavil, ogromno storitev pa je kar padlo, dokler niso razvijalci našli zamenjave. Ta problem izhaja torej iz konflikta interesov med skupnostjo in korporacijami.

log4j varnostna luknja

Decembra 2021, pred prazniki, je bila najdena kritična varnostna luknja v knjižnici log4j, namenjeni diagnosticiranju izvajanju v javi napisanih programov. varnostna luknja je omogočila oddaljeno izvajanje kode, knjižnico pa je uporabljalo ogromno spletnih storitev, kot so Cloudflare, iCloud, Minecraft, Steam, kitajski QQ, Twitter in mnogo drugih. Ocena števila kompromitiranih strežnikov gre v milijone, zato so je bil varnostni incident označen za največjega v zadnjem desetletju.

xz ranljivost

https://en.wikipedia.org/wiki/XZ_Utils_backdoor

Nedaven in zelo odmeven primer ranljivosti proste programske opreme je bila ranljivost v knjižnici XZ Utils, ki je prišel na dan marca letos. Gre za zelo razširjeno programsko opremo za kompresijo podatkov, kot je recimo zip. V knjižnico je nekdo podtaknil stranska vrata, ki so napadalcu z vnaprej določenim ključom omogočila administratorski dostop do strežnika prek povezave SSH. Secure shell je zelo razširjen način povezovanja v druge računalnike prek omrežja. Pri tem primeru pa je zanimivo to, da se je zlonamerni storilec, potem ko je nekaj časa težil vzdrževalcem, naj dodajo določeno funkcionalnost v knjižnico, sam pridružil ekipi, saj je bil edini obstoječi vzdrževalec izgorel in utrujen. Tako je storilec sam podtaknil varnostni luknjo, ki jo je slučajno našel tretji razvijalec v podjetju Microsoft in nanjo opozoril, preden bi s posodobitvami prišla na milijone različnih računalnikov. Varnostna luknja je v tem primeru slonela na uporabi sicer zelo kompleksnega iniciacijskega sistema v linuxu, imenovanega systemd, ki je bil na račun varnosti že večkrat podvržen kritiki in je buril duhove v marsikateri skupnosti linux distribucij. Uporaba nove verzije XZ utils, z varnostno luknjo, v kombinaciji s systemd sistemom, ki ga najdemo v ducatih linux distribucij, kot so archlinux, centos, debian, fedora, mint itd., bi omogočil administratorski oddaljen dostop do sistema brez gesla.

To so le trije odmevni primeri, veliko pa jih sploh ne pride v javnost. Poleg varnostnih groženj pa moramo upoštevat da do marsikaterega razvoja proste programske opreme sploh ne pride.

Skratka danes govorimo predstavnikom agencijo za suvereno tehnologijo iz Nemčije, Sovereign Tech Agency, katere namen je naslovitev prej omenjenih in drugih problemov, ki izhajajo iz manka sistemskega, javnega financiranja razvoja proste programske opreme, ki jo dnevno koristimo. Prisluhnite intervjuju, ki sva ga z Liotom opravila s Paulom Sharrattom, vodjo oddelka za razvoj in raziskovanje strategij ter politik podpore odrtokodnih ekosistemov.