몇몇 독선적인 인물들은 항상 오픈소스 프로젝트의 분위기를 가늠하는 척도 역할을 해왔습니다. 여기에는 리누스 토르발스(Linus Torvalds)와 curl의 창립자이자 여전히 리드 개발자인 다니엘 스텐버그(Daniel Stenberg)가 포함됩니다. 그들은 정기적으로 시대정신을 반영한 주제에 대한 의견을 표명합니다. AI 기반 보안 취약점의 '벌노캘립스(Vulnocalypse)' 이후, 그는 이제 이렇게 말합니다: 오픈소스 프로젝트에 기여하는 것이 건강 위험이 되고 있다. 이러한 상황이 계속되어서는 안 되며, 참여 부족은 오픈소스 정신을 위험에 빠뜨리기 때문입니다.

AI 기반 디버깅에 대한 스텐버그의 견해는 정교하며, LLM의 발전 과정을 정확히 반영한다. "AI 쓰레기"에 대한 불만과 컬 버그 바운티 프로그램의 일시적 중단 이후, 현재 프로젝트는 "고품질 혼란"의 단계에 접어들었다. 접수되는 버그 보고서는 명백히 터무니없는 내용이 아니라 상세하고 매우 철저하다. 개발자는 AI가 생성한 보안 보고서를 검토하는 데 하루 종일을 보낸다. 각 보고서를 읽고 이해하고 필요시 추가 조치를 취해야 하는데, 하루 평균 한 건, 즉 2024년 대비 5배에 달하는 양이다.

이것은 프로젝트의 다른 추가 개발을 위한 시간을 거의 남기지 않으며 스텐버그의 건강에 영향을 미칩니다. 그의 아내는, 스웨덴인이 블로그에 쓰는 대로는 처음으로 그의 긴 근무 시간과 업무와 여가의 불균형에 대한 우려를 표명했습니다. curl 팀의 다른 멤버들도 비슷한 문제를 겪고 있으며, 스텐버그(Stenberg)는 “팀 동료들이 걱정된다”고 말했습니다. 압력은 그 어느 때보다 높습니다: “다른 모든 것을 압도하는 높은 우선순위의 작업이 쇄도하고 있습니다”가 개발자들에게 쏟아지고 있습니다.

Stenberg는 Linus Torvalds처럼 자신을 "Benevolent Dictator for Life"라고 설명하며, 스케치했다. 그의 2024년에 curl 작업에 대한 원칙: "우주가 의존할 수 있는 견고한 제품을 출시하라", 거기에 적혀 있습니다. 그리고: "보안 최우선에 집중하라". 스텐버그는 이러한 원칙과 다른 여덟 가지 원칙으로 평가받기를 원합니다 – 그리고 그 원칙들은 이제 말 그대로 그와 그의 팀을 아프게 만들고 있습니다. 왜냐하면 curl 작업에 대한 그들의 양심과 자부심이 그들로 하여금 보고서를 단순히 무시하는 대신 처리하도록 강요하기 때문입니다.

수십억 수혜자들에게서 나온 수십억은 어디에 있나?

반면, 스텐버그(Stenberg)는 자신의 제품에 curl이나 libcurl을 사용하는 회사들로부터 대체로 무시당한다고 느낀다. 그 수는 거의 상상하기 어려울 정도로 많다: 팀은 curl의 설치 기반을 300억 개의 활성 설치로 추정한다. 방화벽에서 로봇 청소기, 비디오 게임 콘솔에 이르기까지, 이 전송 라이브러리는 전 세계 대부분의 가정에서 작동하고 있다.

이것은 기록적입니다 – 그리고 이 기록 프로젝트에는 후원사가 몇 개나 있습니까? 스물셋. Google, Meta, Apple, Microsoft와 같은 수조 달러 가치의 기술 기업들은 그중에 포함될까요? 아니요. 대신, 50억 달러 가치의 회사인 Elastic이 골드 스폰서로서 매월 500~1,000달러를 프로젝트에 송금합니다. AirBNB(시장 가치 780억 달러)는 매월 100~500달러를 송금하는데, 이는 영국의 한 청소 회사가 지불하는 동일한 금액입니다.

또한, OpenAI(OpenAI)와 Anthropic(Anthropic) 같은 AI 기업의 흔적은 전혀 없으며, 심지어 curl(컬)에 보안 모델 Mythos(Mythos)를 무료로 공개하겠다는 그들의 관대한 제안도 회사에 의해 간접적으로만 실행된 것으로 보입니다. 한편, "Vibe Coding(Vibe Coding)"은 많은 오픈소스 프로젝트에서 물질적 기반을 제거하고 있으며, 이는 과학자들이 발견한 바와 같습니다.

OpenCollective에서 curl 프로젝트는 일회성 또는 월별 기부를 하는 약 950명의 후원자를 보유하고 있으며, GitHub에서도 추가로 250명의 후원자가 있습니다. GitHub 후원자는 주로 개인이며, Fediverse에서 오픈소스 버블을 자주 방문하는 사람이라면 많은 아바타를 알아볼 수 있을 것입니다. 따라서 여기서 많은 자원봉사자들이 다른 자원봉사자에게 기부하고 있으며, 대기업들은 여전히 눈에 띄게 부재한 상태입니다.

하지만, 스폰서 페이지는 현실의 완전한 그림이 아닙니다. Daniel Stenberg가 저에게 설명했듯이: „저는 wolfSSL에 고용되어 curl에서 풀타임으로 일하고 있으며, 그렇게 하는 이유는 curl 지원 및 기타 curl 관련 활동에 대해 비용을 지불하는 고객이 있기 때문입니다. 그리고 그 고객들이 결과적으로 실제로 curl 프로젝트를 후원하고 있다고 말하는 것이 공정할 수 있다고 생각합니다.“ 따라서 Microsoft와 같은 기업도 이 간접적인 후원 기회를 사용할 수 있습니다 – wolfSSL의 고객 목록은 공개되지 않습니다.

하지만, 스텐버그(Stenberg)는 자신의 블로그에서 "그것만으로는 충분하지 않다. 더 많은 회사들이 [...] 우리에게 자금을 지원해 주길 바란다"고 말한다. 그러나 그는 상황이 계속 악화되고 있음에도 불구하고 마음의 변화가 일어날 것이라고 믿지 않는다. 팀은 스텐버그가 버그 보고서의 홍수라고 부르는 '쓰나미'를 헤쳐 나가기 위해 '수영'할 수밖에 없었으며, 구명보트는 보이지 않는다.

그는 심각한 (보안) 오류로 인해 "세상을 잠시 불태운" 프로젝트들을 거의 부러워하는데, 그 이유는 이후에 주목을 받았고 어떤 경우에는 재정적 지원을 받았기 때문이다. 아마도 그는 Heartbleed를 의미하는 것일 수도 있다.? 2014년 OpenSSL의 치명적인 보안 취약점은 프로젝트의 재정 및 인력 상황에 주목을 끌었고, 눈에 띄는 개선을 이끌어냈습니다. 하지만 인터넷을 통해 악용될 가능성이 있는 curl의 유사한 오류는 어떤 영향을 미칠까요? 300억 개의 잠재적 취약 장치는 정말 많습니다. 제 집에만 해도 curl이 약 50번 정도 존재할 것입니다.

개발자 포옹이 새로운 발코니 박수인가?

Daniel Stenberg는 지원 부족에 대한 불만에서 결코 혼자가 아닙니다. 최근 종료된 RIPE92 회의에서 가장 널리 사용되는 세 가지 오픈소스 DNS 서버인 Bind, Unbound, PowerDNS의 개발자들은 다음과 같이 촉구했습니다: “오픈소스 소프트웨어 유지관리자를 안아주세요" – 또는 [support] 계약을 통해 지원하세요.” 과로한 소프트웨어 개발자에게 가상의 포옹이나 “발코니 박수”가 면죄부가 될까요? 그것만으로는 부족합니다. 그렇지 않으면 오픈소스, 즉 우리 디지털 사회의 기술적 기반이 생존할 수 없습니다.

현재의 사태 악화는 수십 년간 존재해 온 문제에 다시 주목하게 합니다: 기업들이 자체 비즈니스 성공의 기반으로 오픈소스를 사용한다는 점입니다. Bambu Labs와 같은 일부 기업은심지어 공개적으로 무시한다 자신의 비즈니스 모델에 도움이 될 때 오픈 에코시스템의 관습과 규칙을. 그리고 AI 회사들은, 그들의 LLM이 프로젝트를 오류 메시지로 넘쳐나게 하면서, 자신들이 주로 자기 이익만을 추구한다는 것을 충분히 보여주었다.

물론, 기부할 의무는 없습니다; 결국 "무료 배포"는 오픈 소스 소프트웨어의 특성 중 하나입니다. (OSS). 하지만 저는 기업들이 재정적이든 개발자 시간을 통한 이념적이든 지원을 제공할 의무도 있다고 생각합니다. 따라서 오픈소스의 모든 수혜자들이 참여할 때가 되었습니다. 왜냐하면 다른 자원봉사 활동과 마찬가지로 이것도 참여로 유지되고, 오직 참여를 통해서만 살아남기 때문입니다.

(cku)