Иногда смотришь на то, как работает интернет — и хочется спросить: а мы вообще понимаем, что держит всю эту конструкцию?
Спойлер: нет.
В новогодние праздники люди поднимают бокалы, запускают салюты и загадывают желания, не подозревая, что под всем этим лежит интернет — построенный на энтузиазме четырёх уставших программистов из разных концов света. Без зарплаты, без корпоративного прикрытия, без психолога, который скажет: «Отдохни, ты перегорел».
И вот эта штука, которую мы называем “open source”, — величайшая ложь интернета. Ложь о прозрачности, надёжности и контроле.
Но начнём по порядку.
Когда 11 строк кода ломают пол-мира
2016 год.
Программист по имени Озерка Чулу удаляет пакет Left Pad из npm. Маленькая библиотека на 11 строк.
И интернет рухнул.
Проекты перестали собираться.
Сайты — обновляться.
Инженеры по всему миру — одновременно офигели.
Выглядело это примерно так, словно кто-то вынул одну детальку из Jenga — и башня решила полежать.
Вот и весь ваш «надёжный открытый код».
Log4j: когда в пожар уходит весь IT-мир
2021 год.
В логирующей библиотеке Log4j — одной из тех, что встроена куда угодно, от Minecraft до банковских серверов — обнаруживается уязвимость.
Уровень опасности — 10 из 10. Сатурнальное число.
Хакеры могли удалённо выполнять произвольный код.
Серверы — под контролем злоумышленников.
Экономика — в минус на миллиарды долларов.
И всё это — в open source библиотеке, за которой формально следят тысячи людей.
А по факту — почти никто.
2024 год: бэкдор в Linux. Вы не ослышались
Одна из ключевых утилит для сжатия данных — та, что есть почти на каждом Linux-сервере — внезапно получает обновление.
Внутри — незаметный бэкдор.
Тихий, аккуратный, как работа часовщика.
С его помощью можно было получить ключи от любой Linux-машины в мире.
И узнали об этом только потому, что инженер Microsoft случайно увидел подозрительную строку в патче.
Да, Microsoft спасла Linux. Звучит как анекдот, но это наша реальность.
Heartbleed: ошибка, написанная усталостью
2014 год.
OpenSSL — библиотека, которая защищает половину интернета, — содержит дыру Heartbleed.
Хакер может залезть в оперативку сервера и забрать оттуда хоть пароли, хоть приватные ключи.
Уязвимость жила два года.
Два года в открытом доступе.
Два года никто не замечал.
И всё это — потому что разработчик был уставшим и перегруженным.
Вот и весь ваш «миллиард глаз» open source.
Liberty. Liberty. Liberty. — и падает всё
Программист Марак Скваерс — автор ColorJS и FakeJS, библиотек, которые используют тысячи проектов — берет и выпускает обновление.
И добавляет в него бесконечный цикл:
Liberty. Liberty. Liberty.
Код зависает, память утекает, процессы ложатся.
Microsoft быстро блокирует его аккаунт и откатывает патч.
И показывает всему миру:
Свободный код свободен до тех пор, пока корпорация не решит, что хватит свободы на сегодня.
Так что, open source — это плохо?
Нет.
Open source — это невероятно важная часть цифровой цивилизации.
Но вот в чём проблема:
Мы построили интернет на хрупкой системе доверия, добровольчества и чуда.
Каждый день он работает — не потому, что его кто-то держит под контролем.
А потому что нам везёт, и пару уставших программистов ещё не бросили свои библиотеки.
Корпорации используют эти бесплатные компоненты, экономят миллионы —
но инвестировать в их безопасность? Ну да, конечно.
Что дальше?
Либо крупные компании начнут вкладывать деньги в безопасность open source,
либо мы будем продолжать жить в мире, где 11 строк кода могут остановить интернет.
Open source — это не зло.
Это фундамент.
Но фундамент, который давно пора укрепить, а не молиться, что он выдержит.
А как вы относитесь к Open Source продуктам?