Mã nguồn mở là một con người

Ý kiến trên Hacker News

• Có cảm giác trong cộng đồng phần mềm có khá nhiều hiểu lầm về vấn đề này; thực ra rủi ro chuỗi cung ứng theo tôi không hẳn là vấn đề phần mềm hay kỹ thuật mà là vấn đề quản trị.
  Ngay cả khi không ai có ác ý, một dự án vẫn có thể phát sinh rủi ro chuỗi cung ứng, và mỗi người đánh giá rủi ro chuỗi cung ứng lại có góc nhìn và tiêu chí bảo mật khác nhau.
  DoD (Bộ Quốc phòng Mỹ) nhìn rủi ro theo một góc độ hoàn toàn khác với lập trình viên thông thường, và nhiều dự án một người trở thành rủi ro chỉ đơn giản vì chỉ có một người phụ trách.
  Khi “bus factor” là 1 thì bản thân điều đó đã là rủi ro chuỗi cung ứng.
  Đa số mọi người khi chọn package không nghĩ xa đến tình huống chiến tranh, nhưng quân đội thì có thể phải tính đến điều đó.
  Khi chiến tranh nổ ra, ngay cả các dự án mã nguồn mở vốn thường được vận hành tự chủ cũng có thể đột ngột thay đổi tình hình.
  Trên thực tế, nhiều quốc gia trong thời chiến có thể yêu cầu doanh nghiệp tư nhân hoặc dự án cá nhân hợp tác theo luật, nên có những nơi (như DoD) tính luôn cả những chuyện này vào rủi ro bảo mật.

  • Mọi người ơi, hãy cùng hô lên: nhất định phải vendoring package! Hãy vendoring!
  • Dù vậy, tôi vẫn thấy chua chát khi các lời thổi phồng kiểu “một lập trình viên đơn lẻ cũng có thể sớm xây nên công ty phần mềm tỷ đô” vẫn tiếp tục xuất hiện.
  • Nếu là DoD thì tôi nghĩ họ thà không dùng gói đó ngay từ đầu nếu chưa sẵn sàng đọc toàn bộ mã của package, khóa cập nhật lại, và tự vá khi cần.
    Họ sẽ không vận hành theo kiểu “giá mà có thêm một người nữa mà chúng ta cũng chẳng hề tin tưởng” trong bối cảnh chiến tranh.

• Có dữ liệu nói rằng NPM có 4 triệu dự án một người và khoảng 900.000 người đang quản lý các dự án đó; tôi tự hỏi đó có thực sự là điểm quan trọng không.

  • Không được nói thẳng ra, nhưng có lẽ ý là thế này.
    Tức là phần lớn giá trị kinh tế của mã nguồn mở (Harvard ước tính là 8,8 nghìn tỷ USD) được tạo ra bởi các “dự án một người”, và không ai trong số họ thực sự nhận được nguồn lực hỗ trợ đúng mức.
    Trong câu chuyện rủi ro chuỗi cung ứng, thứ thực sự nguy hiểm là những maintainer đơn lẻ bị trả công thấp và làm việc quá tải.
    Người đó đến từ quốc gia nào thật ra tôi thấy không quan trọng lắm.

• Tôi tò mò không biết có thống kê nào về việc chuyện gì xảy ra khi một maintainer đơn lẻ đột ngột gặp tai nạn hoặc bỏ dự án không.
  Với từng ấy dữ liệu thì có vẻ rất đáng để nghiên cứu.
  Tôi muốn biết liệu có lập trình viên mới tiếp quản dự án, nó được thay thế bằng dự án khác tương tự, hay biến mất hoàn toàn.

  • Còn tùy tình huống.
    Trên thực tế, chuyện xảy ra còn thường là “người quản lý mất hứng hoặc không còn thời gian nên buông tay” hơn là bị xe buýt tông.
    Những kịch bản hay gặp lúc đó là
    1. ai đó fork và cuối cùng fork đó thay thế bản gốc
    2. một dự án mới làm cùng vai trò trở nên phổ biến và thay thế dự án cũ
    3. maintainer ban đầu chuyển quyền quản lý dự án cho người khác
    4. không ai thực sự quản lý nữa nhưng nó vẫn tiếp tục được dùng, ai gặp vấn đề thì tự fork để sửa, chỉ là các fork đó không trở thành xu hướng chính
       Điểm mạnh của mã nguồn mở là kể cả khi người tạo ra biến mất, trở nên kỳ quặc hoặc đổi license, vẫn có ai đó fork để duy trì tiếp.
       Ngược lại, với phần mềm thương mại thì dù người tạo là công ty hay cá nhân, một khi họ biến mất hoặc thay đổi nội dung thì coi như hết.
       Cùng lắm là phải đi tìm sản phẩm thay thế.
  • Nếu có một loạt tập kể về quá trình các thư viện/công cụ/ứng dụng/trang web mã nguồn mở nổi tiếng được chuyển từ maintainer này sang maintainer khác, tôi chắc chắn sẽ xem.
    Cũng là lý do tôi không điều hành Netflix.
  • Theo kinh nghiệm của tôi, tôi đã thực sự thấy cả ba trường hợp đó.
    Cuối cùng vẫn là vấn đề phụ thuộc vào số lượng người dùng, độ phức tạp của codebase và việc có hay không có giải pháp thay thế.
  • Ví dụ gần nhất tôi nghĩ đến là Hans Reiser/Reiserfs.
    Đó là một câu chuyện còn kỳ lạ hơn nhiều so với việc chỉ đơn giản là “bị xe buýt tông”, và cuối cùng dự án đó biến mất.
  • Điều mọi người hay bỏ qua là nếu mã là mã nguồn mở thì dù có mất thời gian, trong tình huống xấu nhất lúc nào cũng có thể fork được.

• Ngay cả với các dự án có từ hai người quản lý trở lên, trong thực tế phần lớn commit rốt cuộc vẫn do một người đảm nhận.

  • Vì vậy nên tôi tránh dùng 11ty cho website cá nhân và chọn Jekyll.
    Link liên quan: https://github.com/11ty/eleventy/graphs/contributors

• Chỉ cần kiểm tra mức độ hoạt động thôi cũng đã thấy ngay một nửa số dự án hoàn toàn không có maintainer nào, thật đáng tiếc.

  • Cũng có những trường hợp khi phần mềm được cảm nhận là đã “hoàn hảo” thì không còn cần bảo trì nữa.
    Nghĩa là cứ để đó cũng được, không cần dọn dẹp, tinh chỉnh hay hiệu chỉnh gì thêm.
    Nhiều khi vấn đề lại nằm ở update, chứ không phải ở bản thân dự án.

• Việc DoD dùng node còn khiến tôi lo hơn.
  Tôi có cảm giác bất an rằng nền tảng như npm có bề mặt tấn công quá lớn.

  • Điều đó khiến tôi thắc mắc vì sao.
    DoD là một trong những tổ chức lớn nhất thế giới, nên họ cũng có nhiều công việc kiểu gửi newsletter hay trang web đặt lịch tham quan doanh trại Hướng đạo sinh.
    Với những thứ như vậy thì dùng node cũng chẳng sao.
    Những hệ thống đó vận hành tách biệt với các hệ thống quan trọng kiểu phóng tên lửa, và kể cả trang đăng ký sự kiện có bị phá thì cũng không thành vấn đề lớn.
  • DoD lớn đến mức tôi nghĩ chắc họ dùng gần như mọi nền tảng chính hiện có.

• Tôi nghĩ rất nhiều dự án GitHub một người thực ra chỉ là thử nghiệm cá nhân hoặc trò đùa kiểu “hello world”.
  Tôi không biết npm thế nào, nhưng trên PyPI cũng đầy ví dụ tương tự.
  Tôi vừa tự bấm vào ‘browse projects’ thì ra cái này: https://pypi.org/project/helloworld-eduardo/
  Thật lòng mà nói thì dù có say cỡ nào cũng chẳng ai nghĩ đến việc dùng thứ này trong sản phẩm đâu.

• DoD cực kỳ giỏi trong việc nếu thấy có thể lấy thứ gì đó miễn phí thì sẽ thuyết phục mọi người rằng “ai cũng được lợi”, rồi cuối cùng lại giao việc cho nhà thầu bên ngoài có trả tiền.

  • Nhớ đến chuyện con ngựa thành Troy thì có thể thấy miễn phí không phải lúc nào cũng là tốt.

• Có đoạn nói về “package có hơn 1 tỷ lượt tải xuống nhưng chỉ có một người quản lý”, tôi tự hỏi điều đó thực sự muốn nói lên điều gì.

• Tôi đã nghe khá nhiều điều hay ho về những gì một người tên Linus tạo ra, và chắc là cũng đã dùng rất nhiều.
  Ông ấy đến từ một nước giáp biên giới với Nga, nên tôi cũng tự hỏi liệu mình có nên để tâm đến kiểu chuyện đó không.
  Tôi đã phát triển mã nguồn mở hàng chục năm, hầu như toàn làm một mình hoặc thỉnh thoảng lập một nhóm tình nguyện.
  Ai từng làm việc với đội tình nguyện sẽ hiểu chuyện đó thực sự không hề dễ.
  Tất nhiên không phải là bất khả thi, nhưng nó không trơn tru và phổ biến như chúng ta tưởng.
  Khi nó vận hành tốt thì thường là có một “BDFL (nhà độc tài nhân từ)” hoặc mọi người cùng di chuyển theo một mục tiêu chung.
  Trường hợp của tôi hầu như luôn là dạng thứ hai.

  • (Lạc đề) Bố mẹ của Linus cũng hoạt động chính trị, và bản thân Linus hồi nhỏ cũng từng tham gia tổ chức thiếu niên cộng sản (na ná hướng đạo sinh).
    Bố ông ấy cũng từng sống ở Moscow vài năm.
  • Linux là một dự án có quy mô maintainer và hỗ trợ rất lớn, hoàn toàn khác với một dự án một người do riêng Linus phát triển.