Kỷ nguyên mới của mã nguồn mở
95% doanh nghiệp sử dụng mã nguồn mở như một động lực thúc đẩy tăng trưởng. Nhưng liệu sự phụ thuộc này có còn bền vững trong thời đại công nghệ luôn biến đổi?
Về cơ bản, phần mềm mã nguồn mở (OSS) cho phép mọi người xem, thay đổi, cải thiện và chia sẻ mã nguồn của nó. Mức độ minh bạch này không chỉ khuyến khích môi trường nơi các nhà phát triển trên toàn thế giới có thể tham gia vào các dự án, mà còn mang lại cho người dùng sự tự do tùy chỉnh phần mềm để phù hợp với yêu cầu của họ. Các dự án như Linux, Apache, MySQL, Git,... là minh chứng cho sức mạnh của mô hình này.
Tuy nhiên, những xu hướng mới xuất hiện, đặc biệt là sự phát triển của AI, đang thách thức và có thể thay đổi hoàn toàn cách mà OSS tồn tại.
Các phần mềm mã nguồn mở với đa dạng chủng loại
Khi lợi ích kinh tế lên ngôi
Như một sự chuyển dịch thường tình, một loại hình miễn phí trở nên phổ biến sẽ khiến cho chủ sở hữu nó tiến hành việc thương mại hóa.
Các công ty sử dụng OSS như một nền tảng để xây dựng sản phẩm thương mại của họ. Các gói dịch vụ có thể bao gồm hỗ trợ việc sử dụng, cung cấp phiên bản OSS cao cấp hơn, gói premium dành cho cá nhân/tổ chức,... Đặc biệt, việc thương mại hóa không yêu cầu dự án phải chia sẻ mã nguồn của phần mềm, trừ khi phần mềm có mã nguồn sạch (không có ràng buộc về giấy phép) bị pha trộn, kết hợp với mã nguồn có giấy phép, khiến cho toàn bộ sản phẩm cuối cùng cũng chịu ảnh hưởng bởi giấy phép đó (hay còn gọi là tainting).
Các gói dịch vụ của phần mềm mã nguồn mở
Tainting là thuật ngữ chỉ một trạng thái xảy ra khi mã nguồn mở được tích hợp vào phần mềm độc quyền. Sự ra đời của các Giấy phép như GPL hay AGPL là một ví dụ cụ thể:
- Dự án phải chia sẻ mã nguồn của phần mềm độc quyền nếu nó chứa hoặc dẫn xuất từ mã GPL
- Người dùng có quyền chỉnh sửa, sao chép và phân phối phần mềm, ngay cả khi ban đầu nó là phần mềm độc quyền
Vì vậy, tainting làm xói mòn khả năng duy trì phần mềm như là tài sản độc quyền của công ty. Những tranh cãi về tainting cũng thúc đẩy các công ty lớn phát triển các phiên bản mã nguồn mở của riêng mình, nhưng với giấy phép ít ràng buộc hơn nhằm giảm thiểu nguy cơ tainting như Apache License hoặc MIT License. Điều này gây phân mảnh cộng đồng và làm mất đi sự thống nhất về nguyên tắc.
Rủi ro vẫn luôn tồn tại
Theo một báo cáo từ Gartner, từ năm 2017 đến 2022, tỷ lệ các dự án OSS được bảo trì và cập nhật thường xuyên đã giảm gần 30%. Đây là một hồi chuông cảnh báo về các dự án mã nguồn mở không thể theo kịp với các yêu cầu bảo mật của thời đại. Tình trạng rò rỉ thông tin xảy ra liên tục do các cuộc tấn công mạng có thể kể đến như:
- Log4j (2021-2022): Log4j là một thư viện nguồn mở phổ biến dùng để ghi lại các hoạt động của hệ thống. Một lỗ hổng bảo mật nghiêm trọng trong Log4j được phát hiện vào cuối năm 2021 và tiếp tục gây rủi ro trong năm 2022 khi nhiều hệ thống lớn chưa kịp vá lỗ hổng. Điều này ảnh hưởng đến hàng triệu hệ thống trên toàn cầu, bao gồm cả các công ty lớn như Amazon, Apple, và Google.
- National Public Data (2023): National Public Data - một công ty môi giới dữ liệu của Mỹ - đã bị rò rỉ gần 3 tỷ hồ sơ dữ liệu cá nhân, bao gồm tên, số an sinh xã hội và địa chỉ. Việc rò rỉ này đã dẫn đến nhiều vụ kiện tập thể, với các cáo buộc rằng người dùng đang phải đối mặt với nguy cơ gian lận tài chính.
- Trello (2024): Đầu năm 2024, một vụ tấn công vào công cụ quản lý dự án Trello đã làm lộ thông tin của 15 triệu người dùng, bao gồm tên và địa chỉ email, nhấn mạnh lỗ hổng trong các công cụ kỹ thuật số hiện đại.
Cuối cùng, cái giá phải trả cho những hậu quả pháp lý từ việc sử dụng phần mềm mã nguồn mở lỗi thời là không hề nhỏ:
- Vụ kiện Equifax (2017-2019): Equifax bị kiện tập thể sau khi không vá lỗi bảo mật của Apache Struts, dẫn đến rò rỉ thông tin cá nhân của 147 triệu người dùng. Sau vụ việc, Equifax đã phải trả 400 triệu USD để dàn xếp các vụ kiện và đền bù thiệt hại cho các nạn nhân.
- Vấn đề của Jenkins (2019): Jenkins, một công cụ CI/CD phổ biến đã bị phát hiện chứa nhiều lỗ hổng do sử dụng các thành phần mã nguồn mở lỗi thời. Vấn đề này gây ảnh hưởng nghiêm trọng đến các tổ chức sử dụng Jenkins trong các quy trình DevOps của họ, dẫn đến các vụ kiện về bảo mật.
- Vụ kiện TikTok (2020): TikTok đã phải đối mặt với một số vụ kiện liên quan đến việc sử dụng thư viện mã nguồn mở lỗi thời, dẫn đến các rủi ro bảo mật. Các lỗ hổng này đã cho phép kẻ tấn công có khả năng khai thác và xâm nhập vào dữ liệu của người dùng.
Cùng với các yếu tố khác dường như cũng đã góp phần tạo ra áp lực để các dự án OSS chuyển hướng từ cộng đồng phi lợi nhuận sang thương mại hóa. Khi đó, thay vì tập trung vào triết lý tự do và chia sẻ, các dự án này trở thành công cụ cho các công ty thương mại và mất đi tính chất 'open' vốn là yếu tố cốt lõi của OSS. Sự chuyển đổi này được xem là một trong những nguyên nhân dẫn đến 'death of OSS'.
AI có đang đe dọa mã nguồn mở?
Sự bùng nổ của AI không chỉ thay đổi diện mạo công nghệ, mà còn đẩy OSS vào một cuộc khủng hoảng chưa từng có. Những lợi ích to lớn mà AI mang lại đã làm lung lay gốc rễ cộng đồng mã nguồn mở, khi những nguyên tắc hợp tác và chia sẻ bị đe dọa. Việc đó đã tạo làn sóng tranh luận sôi nổi trong cộng đồng sử dụng nguồn mở với nhiều luồng ý kiến như:
- Tất cả AI nên là mã nguồn mở để chia sẻ và minh bạch: Điều này xuất phát từ động lực thúc đẩy tính minh bạch với cả mã nguồn mở và AI. Về thực chất, open-source được tạo ra là để chia sẻ và cải thiện phần mềm. Nó cung cấp tính minh bạch hoàn toàn khi được sử dụng cho phần mềm thông thường. Vậy nên nếu có thêm sự hỗ trợ từ AI thì việc phát triển công nghệ còn mang tính vượt bậc hơn cả. Tại sao ta không khai thác nó?
- Giữ AI là mã nguồn đóng và cho phép các công ty công nghệ lớn kiểm soát nó: Ý kiến giữ AI là mã nguồn đóng thường được thúc đẩy bởi mục tiêu thương mại, nhằm bảo vệ bí mật kinh doanh và tối đa hóa lợi nhuận. Mặc dù điều này trái ngược với tinh thần mã nguồn mở, nhưng nó vẫn là một thực tiễn phổ biến trong ngành công nghệ. Bản chất của phần mềm độc quyền không phải là xấu vì đó là nền tảng của hệ sinh thái cạnh tranh để phát triển. Câu hỏi đặt ra là: Làm thế nào để đảm bảo rằng AI được xây dựng một cách có trách nhiệm khi nó được phát triển trong mô hình kinh doanh không công khai mã nguồn?
- Thiết lập các quy định để sử dụng AI: Điều này xuất phát từ các nhà lập pháp để tăng cường việc quản lý. Ý tưởng cơ bản là nếu một sản phẩm công nghệ công cộng mạnh mẽ đến mức những thành phần xấu có thể dùng nó để gây tổn hại đến cộng đồng thì nhà nước sẽ chỉ định việc phát triển bằng các biện pháp kiểm soát hợp lý. Tuy nhiên, điều này cũng làm dấy lên những lo ngại về việc liệu những quy định kiểm soát được đưa ra có làm 'đóng băng sân chơi' đối với những nhà phát triển, khiến phía quản lý trở thành độc quyền và cộng đồng sẽ chỉ là hoạt động công ích?
Cái kết mở cho OSS
Hiện nay, các mô hình tài trợ mới như GitHub Sponsors và Open Collective đang nổi lên như những cách để các nhà phát triển nhận được hỗ trợ tài chính trong khi vẫn giữ cho các dự án của họ mở. Các mô hình lai cũng dần xuất hiện, đó là tín hiệu tốt có thể giúp nguồn mở tồn tại.
Tuy còn đó những thách thức, nhưng có lẽ đây không phải là hồi kết của open source mà đúng hơn là một bước ngoặt. Thành công không chỉ là phát triển nhanh, mà là phát triển có ý nghĩa.
Tham khảo:
Why the future of AI is open source
Open Source or Closed? The AI Dilemma
Why Open Source AI Has No Meaning
Equifax Confirms Apache Struts Flaw Used in Hack
TikTok To Pay $92 Million To Settle Class-Action Suit Over 'Theft' Of Personal Data
Data Breaches That Have Happened in 2022, 2023 and 2024 So Far