نگرانی برای آینده نرمافزار متنباز
در حالی که کنفرانس Kubernetes در آتلانتا با اعلامیههای فراوان دربارهی این پلتفرم برگزار میشد، یک خبر مهم اما کمتر دیده شده وجود داشت: پروژهی Ingress NGINX محبوب، به زودی منسوخ خواهد شد. این بدان معناست که دیگر هیچ بهروزرسانی، رفع اشکال و یا وصلهای برای آسیبپذیریهای امنیتی منتشر نخواهد شد. این اتفاق تلنگری است به وضعیت بحرانی پشتیبانی از پروژههای متنباز.
Ingress NGINX یک کنترلکنندهی حیاتی در خوشههای Kubernetes است که ترافیک HTTP و HTTPS خارجی را به سرویسهای داخلی هدایت میکند. این نقش مهم، حالا در معرض خطر قرار گرفته است. چرا این اتفاق میافتد؟
علت اصلی این وضعیت، کمبود شدید نیروی انسانی داوطلب برای توسعه و نگهداری از این پروژه است. طولی نکشید که Tabitha Sable، مهندس ارشد در Datadog و یکی از همصحبتیهای Kubernetes، به این موضوع اشاره کرد: “سالهاست که پروژهی Ingress NGINX با کمبود شدید نگهدارنده دست و پنجه نرم میکند. برای سالها فقط یک یا دو نفر به صورت داوطلبانه و در ساعات غیرکاری کار میکردند.”
آسیبپذیری امنیتی، آخرین میخ
این وضعیت نگرانکننده، زمانی وخیمتر شد که شرکت Wix یک آسیبپذیری جدی امنیتی را در Ingress NGINX کشف کرد. Wix هشدار داد: “بهرهبرداری از این نقص به مهاجم اجازه میدهد تا کد دلخواه را اجرا کرده و تمام اسرار خوشه را در تمام نامفضاهای آن، که میتواند منجر به تصاحب کامل خوشه شود.” این اتفاق، آخرین ضربه به این پروژه بود.
انتقاد از جامعهی Kubernetes
اگرچه مشکل اصلی وجود آسیبپذیری امنیتی نیست (که این نیز غیرمعمول نیست)، بلکه مسئلهی اساسی، کمبود سرمایهگذاری و حمایت مالی برای توسعهدهندگان متنباز است. William Morgan، مدیرعامل شرکت Buoyant (سازنده Linkerd) در پست لینکدین خود به این موضوع اشاره کرد: “جامعه CNCF واقعاً از کار داوطلبانه پشتیبانی نمیکند. این جامعه رابطهای مصرفگرایانه با نرمافزار متنباز دارد، نه رابطهای مبتنی بر مشارکت.”
راه حل چیست؟
Morgan دو راهکار پیشنهادی ارائه داد: 1) تامین مالی مستقیم پروژه توسط شرکتی که از آن سود میبرد (مانند Buoyant برای Linkerd)، و 2) تامین مالی غیرمستقیم پروژه توسط شرکتی که از طریق آن به فروش خدمات خود متکی است (مانند Google برای Kubernetes). او تاکید کرد: “باید به نگهدارندگان پاداش داد.” این موضوع در مورد پروژهی FFmpeg نیز مشاهده شده است، جایی که توسعهدهندگان با حجم زیادی از درخواستها برای رفع اشکالات امنیتی مواجه هستند و هیچ کس برای انجام آنها پول پرداخت نمیکند.
آیندهی نرمافزار متنباز
این یک هشدار جدی است. اگر مصرفکنندگان نرمافزار متنباز به فکر حمایت مالی از توسعهدهندگان نباشند، شاهد زوال پروژههای حیاتی خواهیم بود. این وضعیت نیازمند توجه فوری و تغییر در نگرش نسبت به کار داوطلبانه در دنیای متنباز است.ما باید یاد بگیریم که از کسانی که نرمافزار متنباز را ایجاد میکنند قدردانی کنیم و برای آنها ارزش قائل شویم.“
📌 توجه: این مطلب از منابع بینالمللی ترجمه و بازنویسی شده است.