XZ Utils y FFmpeg ¿El fin del software libre?
Lo que pasó estos últimos días con XZ Utils y FFmpeg genera mucha preocupación sobre el futuro del software libre. Me doy cuenta de que el título suena a clickbait, pero mi intención no es ser apocalíptico ni generar visitas sino señalar un hecho que generando preocupación en muchos observadores.
Richard Stallman es un enorme programador, pero conocer la naturaleza humana no es lo suyo. El movimiento del software libre requiere de la buena voluntad de la mayor parte de los participantes y, eso es lo que parece que está faltando.
No estoy culpando a Stallman por tener éxito. Pero, probablemente si la Free Software Foundation hbuiera estado dirigida por alguien que conociera mejor el funcionamiento de la industria, probablemente podrían haberse tomado precauciones para evitar estas situaciones.
Sobre XZ Utils y FFmpeg
Como contamos en el artículo citado, XZ Utils es una biblioteca de compresión que suelen incluir gran parte de las distribuciones Linux. Como el desarrollador principal estaba agotado, fue cediendo la iniciativa a otro desarrollador autodenominado Jian Tao. Un programador descubrió que Jian Tao incluyó código que en determinadas circunstancias podía facilitar el acceso no autorizado. Investigaciones posteriores demostraron que ya había intendado hacerlo en otro proyecto.
FFmpeg es una biblioteca de código abierto para la grabación, edición y transcodificación de contenido multimedia.
En la cuenta de la red social X del proyecto se publicó:
El fiasco de xz ha demostrado cómo la dependencia de voluntarios no remunerados puede causar problemas importantes. Empresas valoradas en billones de dólares esperan apoyo gratuito y urgente de los voluntarios.
@Microsoft @MicrosoftTeams publicó en un rastreador de errores gestionado por voluntarios que su problema es de «alta prioridad»
Después de solicitar cortésmente un contrato de soporte a Microsoft para el mantenimiento a largo plazo, ofrecieron en su lugar un pago único de unos pocos miles de dólares.Esto es inaceptable.
No es la primera vez que un voluntario genera un problema de seguridad.
Heartbleed fue un grave problema de seguridad de la biblioteca de código abierto OpenSSL. Se trataba de una vulnerabilidad que permitía a los atacantes leer la memoria de un servidor o un cliente accediendo a información confidencial guardada en la memoria, como las claves privadas SSL de un servidor.
La vulnerabilidad fue introducida en un parche que un voluntario subió una hora antes de año nuevo. En ese momento no se sospechó que fuera un intento malicioso.
El origen del problema
En las dos primeras décadas de este siglo, se produjo un cambio en el modelo de negocios de las empresas de tecnología especializadas en solucines para grandes empresas y organizaciones. Tradicionalmente se basaba en la venta de productos físicos. esto es soluciones combinadas de hardware y software comercializado en soportes físicos.
Con la extensión de Internet y la popularización de la nube, el eje de la rentabilidad pasó de la venta de productos físicos a la prestación de servicios. Empresas como IBM, Red Hat, Oracle y tiempo después Ubuntu construyeron un negocio basado en Linux y otros productos de código abierto cobrando por el soporte técnico. Con el tiempo, la propia Microsoft tuvo que agregar a su propia plataforma en la nube soporte para estos proyectos.
El tema es que muchas de estas empresas se benefician del software libre y de código abierto pero no contribuyen. Tanto mis compañeros como yo hemos cubierto las noticias de varios proyectos que cambiaron su licencia porque son utilizados para ganar dinero por organizaciones que no devuelven nada a cambio.
Esa combinación de desarrolladores agotados, mala fe, espionaje gubernamental y codicia está generando un cóctel peligroso que puede eventualmente llevar al fin del movimiento de software libre tanto por falta de voluntarios como pérdida de su credibilidad.
¿Cómo solucionarlo?
Creo que habría que hacer un cambio en las licencias tanto de software libre y de código abierto obligando a quienes obtienen un beneficio económico a contribuir con aquellos proyectos de los que se benefician.