Rug pull, fork và chế độ phong kiến trong mã nguồn mở

• Bài viết tổng hợp cách động lực quyền lực trong hệ sinh thái mã nguồn mở vận hành giữa doanh nghiệp, nhà phát triển và người dùng, cùng tác động của hai chiến thuật gây xáo trộn là rug pull (đổi giấy phép) và fork
• Khi các nhà cung cấp đám mây lớn nắm ảnh hưởng rất mạnh, những dự án xoay quanh một công ty duy nhất có thể cấp phép lại để tái phân bổ quyền lực, và fork xuất hiện như một phản ứng đối trọng
• Phân tích các trường hợp Elasticsearch→OpenSearch, Terraform→OpenTofu, Redis→Valkey, Puppet→OpenVox cho thấy những mô thức khác nhau về tái cấu trúc cộng đồng và dịch chuyển người đóng góp
• Áp dụng CLA, sự chi phối của một công ty duy nhất, thời điểm chuyển giao cho quỹ là các tín hiệu rủi ro của rug pull; trong khi quản trị trung lập và mở rộng tầng đóng góp từ nhiều tổ chức được khuyến nghị như chiến lược ứng phó
• Kết luận, việc đổi giấy phép có thể là công cụ kiềm chế các nhà cung cấp đám mây, nhưng đồng thời cũng làm suy yếu quyền của người đóng góp; còn khả năng fork đóng vai trò răn đe đối với các quyết định của doanh nghiệp

Cấu trúc quyền lực trong mã nguồn mở, rug pull và fork

• Trong hệ sinh thái phần mềm mã nguồn mở, các tập đoàn lớn, doanh nghiệp vừa và nhỏ, người đóng góp và người dùng đều sử dụng quyền lực của mình để tác động đến định hướng phần mềm và cấu trúc doanh thu
• Đặc biệt, các nhà cung cấp đám mây lớn có xu hướng nắm quyền lực đáng kể và thường chiếm ưu thế so với các công ty nhỏ hoặc cộng đồng
• Trong bối cảnh đó, nhà phát triển hoặc công ty sở hữu dự án có thể thay đổi giấy phép phần mềm (rug pull), hoặc ngược lại cộng đồng hay doanh nghiệp khác có thể tiến hành fork, tạo ra sự dịch chuyển quyền lực

Tổng quan về động lực quyền lực và các chiến thuật

• Trong thế giới mã nguồn mở, các nhà cung cấp đám mây lớn nắm giữ quyền lực kênh phân phối và phát hành mạnh nhất, hình thành một cấu trúc khai thác các công ty nhỏ, người đóng góp và người dùng
  • Tương tự như việc kiểm soát đất đai trong thời phong kiến, các nhà cung cấp đám mây biến phần mềm mã nguồn mở thành dịch vụ trong khi né tránh đóng góp
  • Các công ty nhỏ đảm nhận phần lớn công việc phát triển nhưng ở vào thế bất lợi vì các nhà cung cấp đám mây có thể sử dụng miễn phí
• Với chiến thuật rug pull, các công ty nhỏ cấp phép lại phần mềm để đối phó với các nhà cung cấp đám mây, nhưng điều này lại gây thiệt hại lớn hơn cho người đóng góp và người dùng
  • Khi các nhà cung cấp đám mây chuyển dự án thành dịch vụ mà không đóng góp, quyền lực của công ty nhỏ bị suy yếu
  • Việc cấp phép lại gây bất lợi cho người dùng, nhưng có thể tái cân bằng quyền lực thông qua fork
• Ở các dự án do một công ty duy nhất dẫn dắt, rủi ro rug pull cao hơn, nên cần đánh giá uy tín của công ty, dù điều này có thể trở nên vô nghĩa nếu xảy ra mua bán sáp nhập hoặc phá sản
  • Áp lực từ nhà đầu tư có thể dẫn đến việc cấp phép lại nhằm tăng doanh thu, đặc biệt khi phải cạnh tranh với nhà cung cấp đám mây
  • Bằng cách dùng giấy phép hạn chế hơn để khiến bên khác khó thương mại hóa, công ty tìm cách dịch chuyển cán cân quyền lực
• Việc tạo ra fork sau một rug pull là một hình thức hành động tập thể mang tính phản kháng để khôi phục quyền lực, nhưng nguy cơ thất bại cao do thiếu nhân lực và tài nguyên
  • Các công ty lớn hoặc nhà cung cấp đám mây có thể dùng nguồn lực để hỗ trợ fork, nhưng fork phổ biến không phải lúc nào cũng thành công
  • Có những trường hợp không xuất hiện fork như MongoDB hay Sentry; trong khi việc Perforce mua lại Puppet rồi đóng phát triển đã dẫn tới fork OpenVox

So sánh các trường hợp chính

Dawn Foster phân tích nhiều trường hợp rug pull, fork và các tác động sau đó dựa trên dữ liệu. (Một phần kết quả được công bố qua bộ dữ liệu Jupyter notebook)

• Elasticsearch → OpenSearch
  • Sau khi Elastic cấp phép lại sang SSPL vào năm 2021, AWS đã tổ chức fork OpenSearch
  • Ở Elastic, tỷ trọng người đóng góp nội bộ gần như không thay đổi lớn trước và sau fork; còn OpenSearch tiếp tục mang đặc điểm đóng góp do Amazon dẫn dắt
  • Phân tích cho thấy ngay cả sau khi chuyển giao cho Linux Foundation vào năm 2024, không quan sát thấy sự bùng nổ đóng góp bên ngoài
• Terraform → OpenTofu
  • Ngay sau khi HashiCorp chuyển sang BSL vào năm 2023, OpenTofu đã ra mắt dưới Linux Foundation
  • Terraform vẫn duy trì mô hình đóng góp chủ yếu từ nội bộ, trong khi nhiều người đóng góp mới từ các công ty khác nhau nhanh chóng đổ vào OpenTofu
  • Trường hợp này gợi ý rằng fork do người dùng dẫn dắt + một quỹ trung lập ngay từ đầu có lợi cho việc hình thành cộng đồng năng động
• Redis → Valkey
  • Ngay sau khi Redis chuyển sang SSPL vào năm 2024, nhiều người đóng góp bên ngoài hiện có đã chuyển sang Valkey
  • Redis là một trường hợp ngoại lệ khi tỷ lệ đóng góp bên ngoài vốn đã cao trước fork; sau fork, con số này giảm mạnh xuống 0 đóng góp bên ngoài, còn Valkey khởi đầu như một cộng đồng liên minh đa doanh nghiệp
• Puppet → OpenVox
  • Sau khi bị Perforce mua lại (2022), dự án rơi vào tình trạng đóng kín quá trình phát triển và phát hành cùng với giảm tần suất phát hành, khiến cộng đồng thúc đẩy fork OpenVox để đáp trả

Quan sát dữ liệu và chỉ số

• Sau rug pull, thường quan sát thấy số lượng fork trên GitHub tăng vọt, được diễn giải như một tín hiệu proxy cho việc cộng đồng đang cân nhắc hard fork
  • Về dài hạn, có xu hướng bản gốc và fork cùng tiếp tục tiến lên song song, nhưng phân tích cho thấy bản gốc đã cấp phép lại có xu hướng giảm mức sử dụng
• Ra mắt dưới chiếc ô của một quỹ có lợi cho thu hút đóng góp ở giai đoạn đầu của dự án mới, nhưng chuyển giao sau đó có thể mang lại hiệu quả hạn chế
  • Trường hợp OpenSearch cho thấy chỉ riêng việc chuyển giao không đảm bảo đóng góp bên ngoài tăng vọt

Tín hiệu rủi ro và hướng dẫn

• Việc sử dụng CLA (Contributor License Agreement) là tín hiệu cho thấy quyền cấp phép lại được tập trung vào doanh nghiệp, từ đó làm trầm trọng thêm mất cân bằng quyền lực
  • Các dự án dựa trên DCO (Developers Certificate of Origin) có xu hướng ít rủi ro rug pull hơn
• Cần kiểm tra mô hình quản trị; sự chi phối của một công ty duy nhất và quyền lãnh đạo tập trung là các yếu tố rủi ro
  • Những dự án có quỹ trung lập, lãnh đạo đa tổ chức và nền tảng đóng góp bên ngoài thường có lợi thế hơn về tính bền vững
• Độ rộng và chiều sâu của cơ sở người đóng góp cũng là tiêu chí đánh giá cốt lõi
  • Doanh nghiệp cần cử trực tiếp người đóng góp vào các dự án mà mình phụ thuộc để đồng thời tăng ảnh hưởng và tính bền vững
  • Metric và practitioner guide của CHAOSS có thể được dùng để chẩn đoán và cải thiện sức khỏe dự án

Gợi ý cho cộng đồng và quản trị

• Việc thúc đẩy mô hình quản trị trung lập và mở rộng người đóng góp bên ngoài là biện pháp thực chất để kiềm chế rug pull
  • Chính khả năng fork đã làm tăng chi phí của quyết định cấp phép lại đối với doanh nghiệp, từ đó tạo ra hiệu ứng răn đe
• Trả lời câu hỏi của Hazel Weakly về các cơ chế bảo vệ, người trình bày nhắc tới việc Valkey và OpenTofu thành công như những ví dụ thực tế đã buộc các doanh nghiệp xem xét lại ý định cấp phép lại
  • Dirk Hohndel nhấn mạnh rằng thu hút nhiều người đóng góp bên ngoài hơn sẽ làm tăng rủi ro rug pull và từ đó khiến ban điều hành phải cân nhắc kỹ hơn

Kết luận

• Khi ảnh hưởng của các nhà cung cấp đám mây lớn ngày càng mạnh, hệ sinh thái mã nguồn mở đang dần chuyển sang một cấu trúc mang tính phong kiến
• Việc thay đổi giấy phép giúp kiềm chế sức mạnh của các công ty đám mây, nhưng trong quá trình đó cũng tạo ra tác dụng phụ là làm suy giảm quyền của những người đóng góp cộng đồng
• Tuy nhiên, với người đóng góp và người dùng, vẫn tồn tại công cụ phản công mang tên 'fork', đây là sức mạnh riêng của mã nguồn mở mà thời phong kiến không có
• Khả năng fork trên thực tế ảnh hưởng đến các quyết định chính sách trong tương lai của doanh nghiệp; trên thực tế, thành công của Valkey và OpenTofu đã khiến một số công ty rút lại kế hoạch rug pull
• Sau cùng, tính trung lập trong quản trị của dự án và việc kích hoạt người đóng góp bên ngoài là chìa khóa để ngăn rug pull và duy trì một hệ sinh thái lành mạnh

Tài liệu tham khảo

• Slide thuyết trình: Power Dynamics, Rug Pulls & Other Impact on Sustainability