Open Source za darmo, korporacje za miliardy

Dzień dobry, nazywam się Marcin Lis i zapraszam do wysłuchania kolejnego odcinka podcastu What the Fox Says.

Na dziś mam przygotowanych kilka tematów, ale najpierw krótkie nawiązanie do tego, o czym mówiłem w poprzednim odcinku i jeszcze we wcześniejszym.

Dwa odcinki temu mówiłem o wielkiej awarii internetu spowodowanej przez problemy ze sługą AWS od firmy Amazon.

W poprzednim odcinku mówiłem o kolejnej awarii, tym razem spowodowanej problemem z usługą Azure od firmy Microsoft, a dziś muszę wspomnieć o tym, co stało się ostatnio, dokładnie 18 listopada, z usługą dostarczaną przez firmę Cloudflare.

Firma Cloudflare jest między innymi dostarczycielem usługi CDN, czyli Content Delivery Network.

Co to jest?

Już mówię.

Content Delivery Network to rozproszona sieć serwerów, które są rozmieszczone w różnych lokalizacjach na świecie, a zadaniem tej usługi jest szybkie i skuteczne dostarczanie treści internetowych do użytkowników.

Działa to na zasadzie przechowywania kopli strony internetowej w różnych centrach danych zlokalizowanych w różnych miejscach na świecie.

Dzięki temu, gdy ktoś chce odwiedzić jakąś stronę, jej zawartość jest przesyłana do najbliższego serwera z DN, a nie jest transportowana z głównego serwera, gdzie ta strona stoi, co w efekcie przyspiesza ładowanie strony, zmniejsza obciążenie tego głównego serwera,

W praktyce mamy taki efekt, że w momencie, kiedy użytkownik, nie wiem, w Stanach Zjednoczonych chce wejść na stronę w Polsce, zamiast łączyć się z serwerem znajdującym się w Polsce na drugim końcu świata, użytkownik ten łączy się z lokalnym serwerem CDN, który ma już w pamięci wszystkie pliki tej strony, czyli pliki zdjęcia i skrypty i tak dalej.

Dzięki temu strony internetowe wczytują się szybciej, działają też bardziej niezawodnie, a dodatkowym plusem jest to, że można w ten sposób chronić swoje serwisy przed atakami, ponieważ nie wystawiamy na świat realnego adresu naszej strony czy naszego serwera, a jedynie użytkownicy widzą adresy serwerów CDN Cloudflare.

W teorii jest to bardzo fajne.

Niestety, tak jak mówiłem, 18 listopada była awaria Cloudflare, której konsekwencje tak naprawdę odczuli użytkownicy na całym świecie.

Incydent trwał kilka godzin, a w jego wyniku ucierpiało wiele serwisów, które są używane przez wielu ludzi na co dzień.

Ofiarami tej awarii były platformy takie jak X, czyli dawny Twitter, ChatGPT, Spotify, Discord i wiele innych popularnych serwisów.

Zamiast widzieć strony czy móc się dostać do serwisów, użytkownicy widzieli jedynie komunikaty o błędach serwera.

niemożliwe było zalogowanie się do wielu aplikacji, a co ciekawe, nawet interfejs zarządzania Cloudflare był niedostępny.

Żeby mieć spojrzenie na to, jak wiele rzeczy mogło być impaktowanych przez ten incydent, Cloudflare w tym momencie obsługuje około 30% firm z listy Fortune 100 i tak naprawdę stanowi krytyczną część infrastruktury internetowej, w związku z czym

Efekt tej awarii był naprawdę duży i bardzo łatwo zauważalny.

Na początku zespół Klaffler podejrzewał, że jest to typ ataku DDoS, ale po inwestygacji okazało się, że przyczyna awarii nie była atakiem cybernetycznym, tylko po prostu zwykłym błędem technicznym.

Pracownicy Klauftler przeprowadzali zmiany uprawnień na jednym ze swoich systemów bazodanowych.

W efekcie dało to efekt taki, że plik konfiguracyjny, który jest odpowiedzialny za zarządzanie butami i zagrożeniami, zaczął generować dużo więcej wpisów niż tak naprawdę powinien, co spowodowało to, że ten plik praktycznie zdublował swoją wielkość.

A system okazał się nieprzygotowany na tak dużą ilość danych.

Po prostu plik przekroczył oczekiwany rozmiar maksymalny, co wywołało błąd ukryty w systemie obsługujących mitygację botów.

I ta wydawałoby się mała, drobna zmiana uruchomiła efekt domino, który

spowodował awarię kolejnych komponentów systemu.

Gdy inżynierowie Klautler ostatecznie stwierdzili, że problem tkwi w tym pliku konfiguracyjnym bot management, cofnęli jego wersję do wcześniejszej działającej wersji, co przywróciło większość usług do normalnego funkcjonowania.

Po kilku godzinach wszystkie systemy Cloudflare wróciły do pełnej sprawności, co automatycznie spowodowało, że wszystkie serwisy za Cloudflare należące do użytkowników też zaczęły działać normalnie.

I znowu mamy to samo.

Mamy awarię, która pokazuje jak niebezpieczna jest centralizacja infrastruktury internetowej w rękach kilku, dosłownie kilku korporacji.

Jednocześnie pokazuje też jak delikatne są te krytyczne serwery, gdzie prosty błąd konfiguracyjny jest w stanie wyłączyć znaczną część internetu.

Incydenty takie jak ten, podobnie jak niedawna awaria AWS czy Azure, stanowią ostrzeżenie, które pokazują, że rzeczy takie jak testowanie zmian przed wprowadzeniem ich na produkcji, redundancja, to są rzeczy, które muszą być wdrożone.

Jest to konieczność, a nie luksus, który można mieć, a nie trzeba.

Kolejny temat też jest związany z wielkimi korporacjami, ale już nie tak bezpośrednio.

Mowa tutaj o DMA, czyli unijnym Digital Market Act.

Unijny akt o rynkach cyfrowych wkroczył w życie jako taka odpowiedź Europy na dominację gigantów technologicznych.

Miał on zagwarantować uczciwą konkurencję, sprawić, że ceny aplikacji będą niższe.

Miał poprawić ochronę prywatności konsumentów.

Minęły dwa lata od jego wdrożenia i niezależne badania dowodzą, że rzeczywistość jest zupełnie inna.

Wręcz bym powiedział gorsza niż była dla europejskich użytkowników.

Założenia tego aktu były proste.

Zmuszenie dużych platform, tzw. strażników dostępu takich jak Apple, Google, Meta czy Amazon do obniżenia prowizji, co miało być przepustką do taniej konkurencji.

Logika tego była prosta.

Mniej prowizji to oznacza niższa cena dla konsumentów.

Jednakże wbrew oczekiwaniom Komisji Europejskiej obniżenie prowizji w App Store nie przełożyło się na obniżkę cen aplikacji dla konsumentów.

W ponad 90% przypadków deweloperzy zatrzymali obniżki dla siebie lub, co ciekawe, wręcz podnieśli ceny.

Najciekawszym przykładem jest Spotify, który przez lata marudził na wysokość prowizji nakładanej przez Apple, a w momencie kiedy weszło w życie DMA i Spotify uzyskał prawo do zerowej prowizji, jednocześnie w tym samym czasie podnieśli ceny na całym świecie.

Dodatkowo uzyskali też możliwość przekierowania transakcji na swoją stronę bez płacenia Apple żadnych opłat.

W efekcie wprowadzenia DMA konsumenci tracą podwójnie.

Po pierwsze nie płacą mniej, po drugie zwiększyły się zagrożenia dla prywatności i bezpieczeństwa użytkowników.

Dlaczego?

Dlatego, że DMA zmusza, czy to firmy Apple, czy inne firmy, do udostępniania poufnych funkcji aplikacjom spoza ich ekosystemów.

Na przykład Apple ostrzegało, że wymogi DMA oznaczają konieczność udostępniania innym firmom takich rzeczy jak historia powiadomień użytkowników, listę sieci Wi-Fi, czy nawet danych dotyczących lokalizacji.

Stwarza to nowe wektory ataków cybernetycznych, zwłaszcza, że aplikacje dystrybuowane poza oficjalnymi sklepami mogą być mniej starannie weryfikowane,

W efekcie Europejczycy zyskali wybór, ale stracili na bezpieczeństwie.

Badania przeprowadzone wśród użytkowników w Europie wykazują, że nie widzą oni obiecywanych benefitów, ale za to wyraźnie widzą pogorszenie się doświadczenia związanego z płatnościami w różnych sklepach.

Ponad dwie trzecie respondentów skarży się na to, że wyszukiwanie i poruszanie się po aplikacjach wymaga teraz więcej kliknięć.

Wyniki wyszukiwań są mniej przydatne, a nawet takie rzeczy jak personalizowane rekomendacje, które kiedyś pomagały użytkownikom, teraz nie działają tak dobrze, ponieważ została na nich wymuszona tzw. neutralność.

Nawet Europejskie Stowarzyszenie Konsumentów, które było zwolennikiem regulacji, przyznaje, że obietnice wyboru, które zostały ludziom obiecane, w praktyce oznaczają często bałagan i zamieszanie dla zwykłych użytkowników.

Badania naukowców wykazują, że po wprowadzeniu DMA europejskie sektory usług poniosły ekonomiczne konsekwencje tego prawa,

Straty, które firmy widzą, pochodzą z utraty czy to personalizacji, czy upośledzenia funkcjonalności platform cyfrowych.

W efekcie na przykład małe hotele czy restauracje tracą efektywne kanały sprzedaży, przedsiębiorcy internetowi polegają się z wyższymi kosztami pozyskiwania klientów, a wiadomo, te koszty nie będą ponosić własnych kieszeni, tylko przerzucą je na konsumentów.

Dodatkowym efektem ubocznym wprowadzenia DMA jest traktowanie Europy jako rynku drugiej kategorii przez coraz większą ilość firm.

Nowe funkcje albo trafiają do Europy z opóźnieniem, albo nigdy do niej nie docierają.

deweloperzy, czy to mali, czy duzi, rzadziej wprowadzają innowacje na rynku europejskim, ponieważ są zniechęceni, czy to niepewnością regulacyjną, czy też wysokimi kosztami bycia zgodnym z DMA.

I tutaj mówimy nie tylko o małych firmach, ale też o gigantach technologicznych.

W efekcie użytkownicy czy to w Stanach, czy w Azji, czy nawet w Wielkiej Brytanii cieszą się nowymi możliwościami, a europejscy konsumenci czekają albo na to, aż nowe funkcje będą wprowadzone później, albo czekają na to, że może będą wprowadzone kiedykolwiek.

W efekcie

Europa zamienia się z innowacyjnego huba w regulacyjny problem.

Paradoksem tej sytuacji jest fakt, że 80% europejskich konsumentów w ogóle nie ma pojęcia, że coś takiego jak DMA istnieje.

W związku z czym, owszem, są sfrustrowani, widzą jak to wszystko działa, ale nie mają pojęcia dlaczego.

W efekcie mamy sytuację, w której regulacja, której celem miała być ochrona konsumenta działa w całkowitej nieświadomości większości, dla której została stworzona.

Wydaje się, że takim fundamentalnym błędem podczas tworzenia Digital Market Act był fakt, że ludzie, którzy go pisali, wierzyli, że wystarczy

wymusić wybór, a wolny rynek, konkurencja zadziałają, że pojawią się nowe platformy, obniżą się ceny i tak dalej.

A w praktyce okazało się, że cyfrowe platformy funkcjonują zupełnie inaczej i tutaj bardziej czasami liczy się personalizacja, integracja, prywatność, bezpieczeństwo,

a nie koniecznie tylko i wyłącznie możliwość wyboru.

A pozostając w klimatach Europy i Komisji Europejskiej, aktualnie Komisja Europejska przygotowuje gruntowną reformę GDPR, czyli po polskiemu RODO.

Zaprezentowany pakiet nazwany Digital Omnibus zawiera dość kontrowersyjne zmiany, zwłaszcza kontrowersyjne wśród obrońców prywatności.

Generalnym założeniem jest takie, że komisja chce uproszczenia przepisów, tylko że uproszczenia niekoniecznie takiego, jak chcieliby ludzie.

Największym, najpoważniejszym

jest redefinicja pojęcia danych osobowych.

W tym momencie dane osobowe to są każde dane, które pozwalają na identyfikowanie osoby przy, jak to jest napisane oficjalnie, użyciu środków rozsądnie prawdopodobnych.

Propozycja komisji chce to zmienić i dane osobowe miałyby być tylko za dane osobowe.

miałyby być uznawane dane tylko wtedy, jeżeli dany konkretny podmiot posiadałby środki do identyfikacji osoby.

Co oznacza bardzo prostą sprawę.

Jeżeli mielibyśmy dane osobowe czyjeś, ale należące do partnera biznesowego, które my możemy zidentyfikować, ale tamten podmiot nie,

to już nie jest to oficjalnie dana osoba, według tej nowej interpretacji.

Kolejną zmianą związaną z definicją danych osobowych jest dokładnie definicja tzw. danych szczególnych.

Aktualnie są to dane dotyczące zdrowia, orientacji seksualnej, przekonań politycznych, pochodzenia itd.

Jeżeli ujawniają one pośrednio lub bezpośrednio te rzeczy,

A propozycja jest taka, że na przykład zamiast danych zdrowotnych, które są w tym momencie uznawane za dane szczególne, jeżeli pośrednio lub bezpośrednio ujawniają informację o zdrowiu danej osoby, miałyby być to tylko wtedy, kiedy te dane bezpośrednio i konkretnie ujawniają stan zdrowia.

Co na przykład powoduje, że fakt, że ktoś co miesiąc regularnie kupuje insulinę w aptece internetowej nie może być sklasyfikowany jako dane wrażliwe, no bo nie ujawnia to bezpośrednio, że ta osoba ma cukrzycę, aczkolwiek jest to całkiem logiczne.

Podobnie jeżeli będziemy wyszukiwać salonów audiologicznych albo szukać aparatów słuchowych,

to też to nie będzie uznane za daną szczególną, mimo że ona wskazuje na problemy ze zdrowiem, ponieważ nie wskazuje bezpośrednio.

Czyli tak naprawdę wszystkie dane pośrednie, które dzisiaj są też kwalifikowane jako dane szczególne według RODO, przestałyby takimi być.

Co ciekawe, propozycja wprowadza też nowy przepis pozwalający na szkolenie systemów AI na danych osobowych, w tym również danych wrażliwych, pod warunkiem, że administrator ma w tym uzasadniony interes.

Nie oszukujmy się.

Każdy administrator będzie miał uzasadniony interes, jeżeli będzie chciał, jeżeli będzie mu na tym zależało, żeby móc przetworzyć takie dane i uczyć na nich swoich AI.

Odnośnie AI jest tam jeszcze jedna ciekawa zmiana w tej propozycji.

Jest taka kategoria jak zdalny dostęp do urządzeń osobistych.

Aktualnie RODO wymaga zgody na dostęp do takich urządzeń, co oznacza, że jeżeli chcemy uczyć swoje AI na prywatnych plikach, na przykład na komputerze czy tablecie użytkownika, musi on wyrazić zgodę.

Według propozycji ma to być dopuszczone dla celów bezpieczeństwa i agregowanych statystyk i to nie będzie wymagało zgody.

Jestem dziwnie przekonany, że wszystkie firmy zinterpretują ten przepis tak, że będą skanować dokładnie wszystkie dane prywatne użytkownika, uzasadniając to właśnie celem bezpieczeństwa czy agregowaniem statystyk i będą na tym robiły kasę.

Nie są to jedyne zaproponowane zmiany.

Możecie o nich przeczytać w linku pod tym odcinkiem, ale tak naprawdę

Komisja podkreśla, że wszystkie te zmiany mają dać w efekcie uproszczenie tej ustawy, mają ułatwić innowacyjność i tak dalej, ale przynajmniej w moim przekonaniu konsekwencje mogą być bardzo niefajne dla zwykłych, prywatnych użytkowników,

a bardzo satysfakcjonujące dla wielkich globalnych big techów, które nagle dostaną dostęp do danych, do których dostępu nie miały właśnie dzięki temu, że chroniło nas RODO.

A pozostając w temacie AI, a przynajmniej związanym z AI,

Międzynarodowa Agencja Energii w swoim raporcie World Energy Outlook 2025 ogłosiła, że transformacja energetyczna świata dzieje się szybciej niż ktokolwiek oczekiwał i że osiągnęliśmy punkt zwrotny globalnej strategii energetycznej, czyli można powiedzieć, że elektryczność stała się siłą napędową współczesnych gospodarek.

Co ciekawe, na chwilę obecną popyt na energię elektryczną to jest tylko 20% globalnego zużycia energii, ale jednocześnie te 20% globalnego zużycia energii napędza ponad 40% światowej gospodarki.

To pokazuje nierówność, jaka występuje pomiędzy zużyciem energii a...

jej wynikami i pokazuje też to, jak krytyczną rolę ma energia elektryczna i jak jeszcze bardziej krytyczną rolę będzie odgrywać w przyszłości.

Według Proznos popyt na energię elektryczną w przeciągu najbliższych 10 lat wzrośnie o 40-50%.

A co napędza ten popyt?

Między innymi właśnie AI, czyli centra danych i sztuczna inteligencja.

To jest najszybciej rosnący sektor, który

Już teraz odpowiada za mniej więcej 15% zużycia energii, a w przeciągu najbliższych 5 lat ten odsetek może wzrosnąć nawet do 50%.

Prognozuje się, że w przeciągu najbliższych kilku lat ponad połowa energii elektrycznej zużywana w centrach danych będzie przeznaczona typowo pod AI.

Dodatkowym czynnikiem zwiększającym zużycie energii elektrycznej jest też elektryfikacja transportu, ogrzewania, produkcji.

Generalnie bardzo dużo rzeczy przestawiamy w naszej gospodarce, naszej na zasadzie światowej, z paliw kopalnych, czy to na przykład benzyny, czy diesla, jeżeli chodzi o transport,

na elektryki, podobnie z ogrzewaniem, że uciekamy od spalania węgla i ogólnie paliw kopalnych i staramy się przejść na energię elektryczną.

Jednakże, żeby mieć energię na to wszystko, musimy ją wyprodukować.

Skoro chcemy uciec od paliw kopalnych, no to zostaje nam albo energia atomowa, albo energia zielona, czyli najczęściej to jest energia słoneczna lub wiatrowa.

I tutaj energia słoneczna tak naprawdę przewodzi transformacji.

W poprzednim, czyli 2024 roku globalnie zainstalowano 700 gigawatów nowych elektrowni produkujących prąd z energii odnawialnej, przy czym 80% tego to były właśnie elektrownie wykorzystujące energię słoneczną.

Według Światowej Agencji Energetyki i jej prognoz do 2035 roku, czyli w przeciągu najbliższych 10 lat, energia słoneczna i wiatrowa mają stanowić łącznie jedną część globalnego zapotrzebowania w energię w ogóle.

Jako ciekawostkę mogę powiedzieć, że mimo całego rozwoju energetyki, czy to klasycznej, czy jądrowej, czy odnawialnej, na świecie

Ponad 700 milionów ludzi nadal żyje w ogóle bez dostępu do elektryczności.

A teraz może przejdźmy do głównego tematu tego odcinka, którym jest, jak olbrzymie korporacje wykorzystują oprogramowanie open source, praktycznie nie dając od siebie nic w zamian, albo nawet jeżeli dają, to bardzo mało i bardzo późno.

O tym właśnie za chwilę opowiem.

Pomysł by o tym opowiedzieć wziął się z tego, że w tym miesiącu pojawił się bardzo duży problem pomiędzy grupą wolontariuszy opiekującą się projektem FFMPG a firmą Alphabet.

Firma Alphabet

używa tej biblioteki FFMPG, czyli to jest biblioteka do przetwarzania wideo i audio, praktycznie wszędzie.

Używają jej w swojej AI, używają jej w Google, używają jej w YouTube.

Tak naprawdę YouTube jest oparty o tą bibliotekę i bez niej by nie działał.

Czyli można powiedzieć, że jest to biblioteka kluczowa dla tej firmy.

W ramach Google jest coś takiego jak Project Zero.

Jest to zespół, który

Przy pomocy sztucznej inteligencji przegląda różne otwarte oprogramowanie i generuje raporty o błędach.

No i właśnie zespół odpowiedzialny za FFmpeg został zalany niesamowicie dużą ilością zgłoszonych błędów, jednakże Google na tym się zatrzymało.

Zgłosili błędy, ale nie zaproponowali od siebie żadnych poprawek.

Teoretycznie po upływie terminu 90 dni Google może publicznie ujawnić wszystkie luki bezpieczeństwa, jakie znalazło i zgłosiło do maintainerów FFMPG.

Problemem jest tylko to, że Google wykorzystał swoje zasoby obliczeniowe, swoje AI, by automatycznie znaleźć błędy w kodzie,

A zespół FFMPG, jest to zespół wolontariuszy, którzy pracują za darmo, w swoim wolnym czasie, robią to tak naprawdę typowo hobbystycznie.

Nie można ich zmusić do tego, żeby robili coś szybciej, więc mieli do wyboru albo naprawić błędy tak szybko, jak Google zasypuje ich swoimi zgłoszeniami, co nie jest zbyt niemożliwe, albo ryzykować fakt publicznego ujawnienia luk bezpieczeństwa w oprogramowaniu, co niezbyt byłoby dobre.

Co ciekawe, jednocześnie i śmieszne i tragiczne, jest fakt, że firmy bazujące na oprogramowaniu open source nie płacą za to, w związku z czym nie mają żadnej umowy, nie mają zagwarantowanego supportu, nie ma żadnego NDA, nie ma nic takiego.

ale nie ma też gwarancji, że to oprogramowanie będzie działać, albo że będzie dostępne.

Tak naprawdę taki Google, opierając YouTube na tej bibliotece otwartej, ryzykuje tym, że maintainerzy mogą w pewnym momencie zmienić licencję, zablokować im dostęp do tego i tak naprawdę zlikwidować im usługę YouTube, gdyby tylko postanowili być na tyle wredni.

A skąd wiadomo, że tak może być?

No z historii.

W 2021 roku była taka luka krytyczna związana z biblioteką Javy.

Było to Lock4J.

Była to biblioteka utrzymywana też przez niewielką grupę wolontariuszy, a używana przez, można powiedzieć, miliardy urządzeń na całym świecie.

Co ciekawe, przed momentem ujawnienia tej luki bezpieczeństwa projekt miał zaledwie trzech sponsorów na GitHubie, a z biblioteki tej korzystały wszyscy, łącznie z takimi firmami jak Apple, Microsoft, Steam, Twitter, Cloudflare.

Według szacunków naprawienie tej luki kosztowało miliardy dolarów łącznie.

A maintainer, który koniec końców naprawił tę lukę, pracował nad projektem w niepełnym wymiarze czasu, bo tak jak mówię, miał tylko trzech sponsorów, więc nie było to dla niego sposób na życie.

Musiał pracować gdzie indziej, żeby się utrzymać, a to robił typowo hobbystycznie.

Faktem jest, że obecnie projekt...

ma ponad 100 sponsorów.

No ale jest to działanie trochę po czasie i akurat w przypadku tego jednego projektu.

Sięgając jeszcze dalej w historię.

OpenSSL.

Podstawowa biblioteka kryptograficzna.

Używana przez, można powiedzieć, większość internetu.

W 2014 roku była utrzymywana przez dwie osoby zajmujące się tym w niepełnym wymiarze czasu.

Wtedy została ujawniona luka Heartbleed.

Była to luka krytyczna.

Musiała zostać przepisana, naprawiona.

Co ciekawe, wtedy projekt otrzymywał mniej niż 2000 dolarów rocznie w darowiznach, mimo faktu, że działał na ponad 65% wszystkich serwerów internetowych w ogóle na świecie.

Po Heartbeat zostało utworzone CII, czyli Core Infrastructure Initiative, do którego giganci technologiczni tacy jak Facebook, Google, IBM, Microsoft, Dell, Amazon itd.

dołączyli i zobowiązali się do przekazywania informacji,

Chyba po 100 tysięcy dolarów rocznie na to.

Jest tam też Linux Foundation i tak dalej.

W każdym razie CII wspiera wiodące projekty open source.

Problem jest tylko taki, że wiodące nie oznacza wszystkie, bo zawsze wiodące zależy dla kogo, z jakiego punktu widzenia.

Na przykład FFMPG, od którego zacząłem, nie jest wiodącym projektem, patrząc ze względów na security, ale jest krytycznym ze względów na usability dla użytkowników.

Innym sposobem reakcji na wykorzystywanie open source przez duże korporacje

jest, niestety, po prostu zmiana licencji.

Przykładami takich rozwiązań jest Redis, Elastic czy HashiCorp z Terraformem.

Redis do pewnego momentu był oparty o licencję BSD,

ale w momencie, kiedy firmy takie jak Amazon w swoim AWS-ie czy Alibaba Cloud zaczęły oferować usługi oparte na Redis, zarabiając miliony dolarów i nawet nie wspierając projektu, choćby dolarem,

więc brali darmowe, otwarte oprogramowanie i zarabiali na nim bardzo dużo.

W 2024 roku CEO Redis ogłosił zmianę licencji i od tej pory Redis ma podwójne licencjonowanie.

Jest Redis Source Available License i Server Site Public License.

W efekcie dzięki takiemu podejściu osoby prywatne nadal mogą używać Redisa za darmo,

Ale firmy nie mogą zarabiać bezpłatnie korzystając z tego oprogramowania.

Na przykład HashiCorp, czyli producent Terraform, jest to takie narzędzie do automatyzacji wdrożeń.

Dwa lata temu zmienił licencję na Business Source License.

Elastic, czyli twórca wyszukiwarki Elasticsearch.

Również zmienił licencję i co ciekawe również po tym, jak Amazon uruchomił konkurencyjną, płatną usługę, żeby było śmieszniej, oparte na oprogramowaniu Elasticsearch.

Różnica była taka, że Elastic oferował u siebie funkcje premium, płatne, ale udostępniał też Elasticsearch za darmo.

A Amazon kasował wszystkich za użycie Elasticsearch u nich, dodając oczywiście od siebie ładne GUI, etc.

Ale znowu, twórca oprogramowania nie dostawał nic.

W związku z tym Elasticsearch, tak jak mówiłem na początku, też zmienił swoją licencję, by Amazon nie mógł z niej darmowo korzystać.

Ale to są pojedyncze przypadki.

Pojedyncze na zasadzie może nie firm, ale pojedynczych projektów.

Najciekawszym przykładem takiego wykorzystania oprogramowania open source jest firma Microsoft i ich GitHub Copilot.

Podejrzewam, że nie jest to jedyne takie wykorzystanie, ale wiem, że w tym przypadku w listopadzie 2022 roku został wniesiony pozew zbiorowy przeciwko GitHubowi, Microsoftowi oraz OpenAI.

Dlaczego?

Dlatego, że Copilot, czyli to jest taki asystent kodowania oparty o AI, opracowany przez Githuba, czyli firmę należącą w tym momencie do OpenAI, sorry, Githuba, czyli firmę należącą do Microsoftu, za duży skrót myślowy, we współpracy z OpenAI,

Tylko pilot AI został wytrenowany na kodzie dostępnym publicznie w repozytoriach GitHub.

Czyli tak naprawdę GitHub wykorzystał pracę autorów open source, którzy hobbystycznie coś tworzyli, do stworzenia produktu komercyjnego.

I to nie pojedyncze biblioteki, tylko po prostu całość, wszystkie publiczne repozytoria dostępne w GitHubie.

Czyli był to tak naprawdę olbrzymi scrapping darmowego kodu.

Co ciekawe,

Licencje takie jak np. GNU General Public License czy licencja MIT wymagają informacji o autorze, czyli nie tyle o samych prawach autorskich, gdy ten kod jest rozpowszechniany, nawet po zmianach, gdy jest ponownie używany itp. Tutaj

na tym kodzie został wytronowany AI.

AI, które pomaga w tworzeniu nowego kodu.

Tylko, że jak wszyscy wiemy, AI nie tworzy nowych rzeczy.

AI kompiluje to, co zna.

Czyli w tym przypadku AI używa kodu, którego zostało nauczone przy scrapingu tych danych, do generowania nowego kodu.

ale skoro bazuje na tym kodzie, to zgodnie z licencjami powinno informować o tym, kto był oryginalnym autorem oryginalnego oprogramowania, etc.

I właśnie na tym został oparty ten pozew zbiorowy.

Powodowie twierdzą, że Copilot generuje kod pochodzący z ich projektów open source, ale bez podania atrybucji, informacji licencji, która jest wymagana licencją, czyli pozbawia kod jego prawnych zabezpieczeń.

Co ciekawe, podnieśli oni również zarzut naruszenia Digital Millennium Copyright Act.

Niestety, w 2024 roku sędzia, który rozpatrywał ten wniosek, oddalił większość zarzutów, pozostawił tylko dwa.

Jeden oskarżający firmy o naruszenie licencji open source i drugi dotyczący naruszenia umowy.

Już na koniec, żeby Was nie zanudzić, jeszcze jedna ciekawostka.

CURL.

Jest to bardzo dobrze wykonany projekt open source.

Jest to narzędzie, które zna większość osób pracujących w ten czy inny sposób z aplikacjami webowymi.

W marcu tego roku jego twórca i główny maintainer musiał zrobić zbiórkę crowdfundingową na zakup laptopa, by móc pracować nad tym projektem.

I teraz wyobraźcie sobie sytuację.

Jest to projekt używany przez firmy Google, Apple, Meta, etc.

A gość musi zbierać pieniądze na zbiórce crowdfundingowej, żeby kupić sobie laptopa, żeby pracować nad tym projektem.

Czy to nie brzmi śmiesznie, żeby nie powiedzieć żałośnie?

Po prostu mamy sytuację, gdzie firmy działają na darmowym, publicznym kodzie, który jest utrzymywany przez społeczność i firmy przyjmują za pewnik to, że on będzie działać, że on będzie aktualizowany, że błędy będą usuwane, etc.,

ale nie dają nic w zamian od siebie za to, że mogą ten kod wykorzystywać.

Mamy tutaj prosty wzorzec biznesowy.

Wielomiliardowe korporacje.

czerpią ogromne korzyści z oprogramowania open source, które często stanowi krytyczną infrastrukturę ich biznesu, bez którego by nie zarobiły albo zarobiłyby dużo mniej, a wkładają w utrzymanie i rozwój tych projektów nic albo ledwo co.

Jest to dla mnie smutne i niezrozumiałe, bo w efekcie może skończyć się to tak, że stracimy oprogramowanie open source.

Albo stracimy je na zasadzie takiej, że autorzy będą zmuszeni do zmiany licencji na płatną, dzięki której będą mogli się utrzymać i utrzymać projekty, albo po prostu upadną i nie będzie już więcej tych projektów.

A wydawałoby się, że rozwiązanie jest takie proste, żeby firmy, które korzystają np. z takich bibliotek jak FF MPEG, przekazywały na projekt, dzięki któremu zarabiają ciężkie miliardy, choćby promil tego zysku.

To by wystarczyło na utrzymanie projektu, na to, żeby maintainerzy mogli zajmować się tym po prostu nie hobbystycznie, a w pełni zawodowo, żeby mieli czas

na naprawianie błędów, żeby mogli zatrudnić ludzi do tego, jeżeli byłaby taka potrzeba.

W efekcie wszyscy by na tym zyskali, bo zyskaliby i maintainerzy, i społeczność, ale też firmy, które wykorzystują te biblioteki, ponieważ miałyby lepsze, bezpieczniejsze oprogramowanie.

No i to chyba tyle na dzisiaj.

Dziękuję za wysłuchanie tego odcinka i zapraszam do kolejnego za dwa tygodnie, a przynajmniej tak to jest planowane.

Do usłyszenia.