Цикл статей о происходящем в open source я бы хотел начать с цитаты: «Брюс Перенс, один из ключевых лидеров open source, готов к периоду post open source». Таким заголовком солидное СМИ The Register озаглавило статью о том, что ждет нас уже совсем скоро. Брюс делится в интервью несколькими основными мыслями. Первая: в лицензионной модели open source полно дыр, и она уже не работает. Вторая: open source ушел в корпоративное использование со всеми вытекающими негативными последствиями, о которых позже. Третья: искусственный интеллект, а именно различные проблемы со сгенерированными данными — лицензии, этика, безопасность, приватность.
Мир ИТ начинался с того, что можно назвать культурой open source. Открытый доступ, свободный обмен (и в СССР это было в том числе), совместная работа над проектами. В 1980 году Столлман, работавший в MIT, решил разобраться с кодом глючившего принтера. Но ему помешало то, что код был проприетарно закрыт. В 1983 году Столлман зарелизил GNU как ответ проприетарному ПО.
Спустя сорок лет после этого, на open source зарабатывают миллиарды. Он стал критической частью ИТ: 96% кодовых баз содержат open source, на GitHub сидит больше ста миллионов разработчиков. Но при этом open source стал и всеобщей проблемой. Будучи мегатрендом, он повлек за собой события и тренды, которые будут формировать наше с вами будущее.
Поясню, что я имею в виду под трендами. В общем смысле я использую терминологию аналитиков Gartner, которые регулярно публикуют кривую хайпа. Есть мегатренды, есть тренды, каждый из них проходит свой жизненный цикл от возникновения до плато продуктивности либо смерти через хайп ожиданий.
Мегатренд — глобальный процесс, происходящий под влиянием массы игроков внутри и вне индустрии. У него, возможно, нет конкретного стимула в виде инвестиций конкретной компании, он, как снежный ком, состоит из трендов. Например, из-за экономических потрясений в мире IT, особенно на Западе, идет волна сокращений. Как часть этого мегатренда, происходит переосмысление подходов к разработке продуктов, их промо и много других трендов, основной из которых, конечно, это экономия на всём.
Некоторые тренды, которые влияли на общество много лет назад, влияют на сегодняшнюю индустрию. Например, когда РФ в 1990-х сблизилась с западным сообществом open source, местные разработчики и пользователи в основной массе выбрали контрибьютить в западные проекты. Сегодня мы ощущаем отголоски тех событий в виде довольно ограниченного количества open source продуктов. Политические и экономические изменения вызвали интерес к open source разных игроков — и следом вызвали проблемы, выродившиеся в тренд изменения лицензий с permissive на более жесткие.
В своих размышлениях я буду избегать того, что уже много раз написано — например, фактической истории open source, — и тех тем, которые лично я считаю скорее «религиозными» и имеющими исторические предпосылки. Например, заявления Ричарда Столлмана (не умаляя его заслуг) и бесконечный терминологический спор free vs open. Или споры о том, стало бы лучше, если не произошло того или этого. Работаем с тем, что есть.
Начнем, как водится у модных авторов сегодня, с прогнозов на 2024 год и далее. Позже попробуем размотать контекст и то, как мы к этому пришли.
2024–… — что будет после open source?
Брюс Перенс ведет речь о трех трендах:
- Смена компаниями лицензий на более бизнес-ориентированные, причем некоторые делают это в прыжке (как, например, Hashicorp).
- Развитие искусственного интеллекта, распространение контента с непонятными нюансами интеллектуальной собственности и развитие связей с open source.
- Изменение и усложнение ландшафта безопасности и регуляторики, превращение внешних open source проектов в субъект корпоративного аудита.
Разберем вкратце (подробнее в отдельных статьях) контекст за каждым из трендов.
Смена лицензий
Каноничным примером этого уже считается кейс с Elastic, более современный — Hashicorp. Обе этих компании монетизируют свои ключевые технологии в разных моделях, предоставляя enterprise-версии, консалтинг либо всё вместе. Сторонние компании получили возможность заработка за счёт использования доступных open source версий, при этом крупнейшие из них, облачные провайдеры, по мнению сообщества, не контрибьютили обратно достаточно доработок.
Elastic, Hashicorp и другие изменили свои лицензии в ответ на каннибализацию их бизнеса большими корпорациями, начавшими предоставлять их продукты через свое облако. Однако коса нашла на камень. В ответ на некорректное, по их мнению, использование их разработок они изменили условия лицензирования, фрагментировав copyleft и добавив экстра copyleft лицензии типа SSPL. Пользователи open source, доверившиеся и взявшие его в проект, были, мягко говоря, обескуражены, веру частично потеряли и начали пересматривать ценности в отношении open source компаний и стартапов в особенности.
Ситуацию, которая к этому привела, возможно, выправила бы правильная коммуникация и подготовка сообщества, но этого сделано не было. На опыте Hashicorp, которая в 2023-м решила перевести все свои продукты, самый заметный из которых — это Terraform, на специальную лицензию Business Source License, можно поучиться тому, как не следует коммуницировать с сообществом. Несмотря на опыт этих «патриархов», было допущено отсутствие позитивной и открытой коммуникации в самом начале. Это вызвало создание OpenTofu — проекта, поддержанного Linux Foundation и достаточно быстро вышедшего в общую доступность в 2024-м. Дальнейшие коммуникации сводились к заявлениям о том, что в индустрии много проблем, Linux Foundation функционирует непрозрачно и так далее. Замечание по поводу непрозрачности функционирования различных фондов и ассоциаций вполне разумно, но не в ответ на свои ошибки.
Можно решить, что действия компаний выглядят импульсивно, однако это не более чем проявление долго назревающей боли всего мирового open source сообщества. Многие вообще не задумывались, когда брали open source проекты в собственный бизнес, считая, что, если open source, то простое следование лицензии обезопасит компанию. Информационная безопасность привыкла к тому, что необходимо тщательно проверять open source зависимости, приходящие в компанию, на наличие уязвимостей, багов и лицензионных коллизий. На новые же вопросы ответов пока не найдено. Что делать и кто виноват, если бизнес использует проект open source, который внезапно меняет лицензию, в некоторых случаях полностью саботируя продукт бизнеса (например, запрещая новой лицензией использование в коммерческих проектах)?
Ситуация стала еще запутаннее, когда возникла любопытная юридическая коллизия с продуктами деятельности моделей машинного обучения или, как их часто называют, искусственного интеллекта. Разумеется, искусственный интеллект этот слабый и способен сейчас делать только базовые вещи, поэтому скорее мы говорим о машинном обучении.
Open source и AI
Благодаря тому, что общее технологическое развитие в IT в целом подтянулось, тема машинного обучения вышла из научных и промышленных кругов в широкие массы и бизнес. Лет пять назад мы говорили про чат-ботов, но работали они часто на запрограммированном дереве решений. Мы говорили про генерацию контента, но легко доступного оборудования для того, чтобы сгенерировать его качественно (а качественная генерация означает, что нам нужно много оборудования, чтобы модель обучить), не было. Сегодня в облаке есть и оборудование, которое легко получить, и масса моделей, часть из которых разработана вендорами, часть — использующая наработки ChatGPT и иже с ними.
Вопрос того, потеряет ли человечество какие-то профессии благодаря этим трендам, интересный, но значительно более практический — кто является правообладателем того, что создано?
Связь может быть неочевидна, поэтому приведу обобщенный пример. Большая компания выкатывает генерационную модель сначала у себя, а потом в open source. Компания получает множество бонусов, так как ее модель обучают, дают обратную связь по ее работе — в общем, всё отлично. Появляется стартап, который берет эту разработку и делает на ее основе собственный продукт с дополнительной ценностью (например, если это генерация картинок, то генерация картинок на какую-то конкретную тему с увеличенной точностью и качеством). Получается, что возникает контент, который был сделан с использованием продукта, который был сделан на основе другого продукта, который был обучен на данных, которые не всегда понятно кому принадлежат и откуда взяты. Эта последовательность может быть сколь угодно длинной, но приводит она к одному — вопросу, кто в итоге является правообладателем этого контента и что произойдет, если компания, сделавшая этот продукт изначально, изменит свою лицензию, а стартап это не отследит и продолжит продавать контент.
Open source и регуляторика
Еще одна ситуация — популярный open source проект, несколько мейнтейнеров, без всякой бизнес-модели. Контактное лицо проекта получает письмо от компании X с просьбой заполнить опросник. В письме указано, что в их продукте используется open source проект и продукт проходит аудит безопасности/сертификации. Почему это происходит? Потому что open source проект был взят в коммерческое использование и стал предметом исследований внутри компании, аудита в данном случае. Этого можно было бы избежать, форкнув проект и инвестировав собственные ресурсы, но так поступают редко.
Время идет, количество неоднозначно-трактуемых ситуаций возрастает. Вышеописанные кейсы с аудитом, непрозрачной цепочкой авторского права и неожиданные смены лицензий создают нарастающую массу юридических коллизий, опасных для бизнеса. Совершенно разумным выглядит стремление компаний разобраться в ситуации и взаимодействие с государственными органами, которые находятся ровно в такой же ситуации.
Заключение
Общие потрясения в IT-индустрии приводят к еще одному важному тренду — сокращению людей, занимающихся выстраиванием отношений с клиентами, партнерами, сообществами: DevRel, Community Managers и др. Выставить KPI этим сотрудникам сложно, отследить их выполнение еще сложнее. Но решение о сокращении этих ролей — это как порвать ту ниточку, которая соединяет компанию с сообществом вокруг ее продуктов вне зависимости от того, просто ли это пользователи или клиенты, купившие лицензии. Это неправильная экономия.
В статье я кратко рассмотрел, что, по моему мнению, ждет нас уже очень скоро. Нужно готовиться и, если вы не являетесь ответственным представителем корпорации, желательно разбираться, что происходит. Попробуем разобраться в следующих статьях.
