Khi phần cứng bị khai tử, doanh nghiệp nên công khai phần mềm dưới dạng mã nguồn mở

Ý kiến trên Hacker News

• Cách chắc chắn nhất để một dự án EOL (End-of-Life) được chuyển sang mã nguồn mở là ngay từ đầu hãy bắt đầu bằng mã nguồn mở
  Những lời hứa kiểu “sẽ công khai sau khi đạt mục tiêu” hay tuyên bố sẽ công khai nếu công ty phá sản đều không có nhiều ý nghĩa
  Phải bắt đầu bằng mã nguồn mở thì nhà đầu tư và cộng đồng mới có thể tin tưởng
  Nên chi tiền cho các công ty làm sản phẩm mã nguồn mở và phần cứng mở, đồng thời hỗ trợ các nghệ sĩ phát hành tự do
  Việc chỉ trích doanh nghiệp vì không công khai sau EOL rốt cuộc cũng chỉ là hành động mang tính trình diễn

  • Đồng thời cũng cần cân nhắc rằng phần cứng tiêu dùng không chỉ là một thị trường sở thích đơn thuần
  • Nếu người tiêu dùng đoàn kết và bỏ phiếu bằng ví tiền, họ có thể thay đổi thị trường
    Ngay cả các tập đoàn lớn cũng khó chống lại nhu cầu thống nhất từ người tiêu dùng
    Giống như FSF đã phổ cập phần mềm tự do, cần có giáo dục người tiêu dùng và một sự chuyển đổi văn hóa
    Cần xây dựng một văn hóa cộng đồng người tiêu dùng nơi ý kiến của chuyên gia được chia sẻ nhanh chóng
    Quan trọng là nỗ lực tạo ra thay đổi thực chất thay vì thái độ hoài nghi
  • Nhưng trên thực tế, thị trường lại là một cấu trúc thưởng cho mã nguồn đóng
    Chỉ với áp lực từ người tiêu dùng thì rất khó, và cần có quy định pháp lý

• Hầu hết các hệ thống phụ thuộc vào chuỗi ký mã để hoạt động theo kiểu “fail closed”
  Nhưng khi chủ thể ký ban đầu biến mất, cần có cấu trúc “fail open” để có thể ủy quyền quyền ký cho một chủ thể mới

• Đề xuất chỉ công khai thông số phần cứng và giao thức thì thiếu tính thực tế
  Phần lớn thiết bị không đơn giản chỉ là giao thức kết nối, và thông số kỹ thuật cũng có thể tìm ra bằng cách phân tích PCB

  • Điều cốt lõi là cung cấp “thông tin tối thiểu cần thiết để tái sử dụng”
    Chỉ cần công khai cách flash firmware và mức firmware tối thiểu là cũng đủ
    Tuy nhiên mỗi sản phẩm có hoàn cảnh khác nhau nên cần tiếp cận theo từng trường hợp

• Với các thiết bị như router, nơi secure boot được ghi vào e-fuse, thì chỉ công khai mã nguồn mở là không giải quyết được
  Trong trường hợp này, nhà sản xuất nên lưu khóa ký dưới dạng escrow để sau EOL vẫn có thể chạy phần mềm mới

  • Nhưng việc công khai khóa ký có thể là một thảm họa bảo mật
    Kẻ tấn công chiếm được tên miền hết hạn có thể tạo botnet
    Thay vào đó cần có quy trình như thao tác nút vật lý để người dùng chủ động chấp thuận cài firmware bên thứ ba
  • Điều này cho thấy cách tiếp cận “chỉ cần công khai giao thức” là không đủ cho mọi thiết bị
  • Cũng có ý kiến cho rằng bản thân việc khóa bootloader nên bị cấm
    Người dùng có quyền sửa đổi thiết bị của mình mà không cần sự cho phép từ nhà sản xuất
  • Hoặc cũng có thể cho phép đăng ký khóa thông qua nút vật lý

• Tôi cũng thấy bức bối khi phải vứt bỏ phần cứng vẫn còn dùng được chỉ vì EOL
  Nhưng cách tiếp cận kiểu “hãy hình sự hóa việc tạo ra rác thải điện tử” thì thiếu tính thực tế

  • Ngay cả khi không phải là giải pháp hoàn hảo, chỉ một đạo luật đơn giản như bắt buộc hoàn tiền khi mất chức năng cũng có thể cải thiện tình hình
    Ví dụ: nếu sản phẩm không thể thực hiện chức năng chính thì phải hoàn tiền toàn bộ, trừ khi nhà sản xuất đưa phần mềm cần thiết vào public domain
    Luật như vậy có thể kiềm chế các tập đoàn lớn như Google, những bên làm sản phẩm trở nên vô dụng bằng cách tắt máy chủ
  • Nhưng nếu theo logic đó thì có phải Windows đã EOL cũng phải được công khai hay không?
    Nếu biến Windows 10 thành mã nguồn mở, chiến lược dài hạn của Microsoft sẽ sụp đổ

• Ý tưởng này còn thú vị hơn cả chính khái niệm “mã nguồn mở”
  Ví dụ, nếu UBNT công khai boot chain đã EOL để Cambium có thể dùng firmware đó,
  kết quả có thể không phải là hỗ trợ từ cộng đồng mà là cuộc cạnh tranh cập nhật sản phẩm vĩnh viễn

  • Trên thực tế, mã nguồn mở hoàn toàn là điều khó khả thi, và nhà sản xuất không có quyền công khai IP của bên thứ ba
    Tối thiểu thì họ phải không cản trở việc chạy phần mềm thay thế mà người dùng muốn dùng
  • Nhưng như vậy vẫn chưa đủ
    Đa số người dùng khi máy chủ biến mất sẽ không cài lại firmware mà просто vứt thiết bị đi
    Vì vậy cần có thiết kế không phụ thuộc vào máy chủ bên ngoài
    Ví dụ: loa thông minh nên hỗ trợ streaming qua mạng nội bộ, bóng đèn nên hỗ trợ ghép nối bằng giao thức tiêu chuẩn
    May mắn là các tiêu chuẩn như Matter over Thread đang phát triển theo hướng đó

• Google Nest Thermostat thế hệ 1 và 2 là một ví dụ tiêu biểu
  Dự án No Longer Evil đã hồi sinh thiết bị này bằng firmware mã nguồn mở
  Nó loại bỏ sự phụ thuộc vào đám mây của Google và cho phép người dùng tự host máy chủ hoặc điều khiển độc lập
  Nhờ vậy, phần cứng đắt tiền này đã có lại sự sống

• Tôi cảm thấy hiện nay giống như một thời kỳ tăm tối nào đó
  Trước đây lò sưởi chỉ cần nối đất một chân là chạy, nhưng các mẫu sau đó chuyển sang giao thức đóng nên khó can thiệp hơn
  Tuy nhiên các mẫu mới nhất lại hỗ trợ chuẩn OpenTherm, giúp việc hack trở nên dễ hơn
  Dạo này có rất nhiều phần cứng mở dựa trên ESP32 hay Raspberry Pi, nên tôi tự làm GUI bằng ESPHome + LVGL rồi tích hợp vào home automation
  Mức độ hoàn thiện cao đến mức bạn bè còn tưởng đó là sản phẩm thương hiệu

• Tôi nghĩ “điều đó sẽ không xảy ra”
  May là nhờ AI và Android, việc reverse engineering giao thức đã trở nên dễ hơn
  Chỉ cần phân tích APK cũng có thể thu được nhiều thông tin, nên tôi đang tự làm app và server cho Limitless Pendant mà tôi mua trước khi Meta thâu tóm
  Tôi chưa tự viết lấy một dòng code nào

• Không ai mong đợi hỗ trợ trọn đời
  Nhưng thật khó chấp nhận việc chức năng cơ bản cũng bị giết chỉ vì backend ứng dụng hay lộ trình sản phẩm biến mất
  Nếu thiết bị vẫn còn ổn về điện và cơ khí, thì ít nhất việc sử dụng tối thiểu phải được bảo đảm