Maintainer duy nhất của VeraCrypt lặn mất tăm mấy tháng làm anh em dev dái đánh lô tô. Lão vừa ngoi lên update, và đây là bài học xương máu cho giới Open Source.
Đang ngồi code dạo bình yên thì đùng một phát, cõi mạng rần rần vì một cái thread trên SourceForge. Chuyện là maintainer của VeraCrypt – phần mềm mã hóa ổ đĩa top 1 server hiện nay – tự nhiên lặn mất tăm suốt nhiều tháng trời. Mấy ông thần lưu key crypto hay giấu tài liệu mật trên máy tính bắt đầu rén ngang, sợ lại có một vụ "TrueCrypt 2.0" hoặc tệ hơn là bị cấy backdoor. May thay, lão đã ngoi lên.
Cho anh em nào lính mới chưa biết, VeraCrypt là hậu duệ của TrueCrypt. Năm xưa TrueCrypt đang xịn xò con bò thì bỗng dưng dev team tuyên bố "dự án không còn an toàn" rồi tự hủy luôn, để lại một trong những bí ẩn lớn nhất lịch sử bảo mật.
VeraCrypt đứng ra kế thừa di sản đó. Nhưng ngặt một nỗi, dự án to tổ chảng này gần như chỉ do một mình Mounir Idrassi gánh vác. Gần đây, các commit trên Github đột nhiên ngừng hẳn. Email không ai rep. Forum vắng như chùa Bà Đanh.
Dân tình bắt đầu đồn đoán: Lão bị NSA gõ đầu? Lão bị hack? Hay lão đã "đăng xuất" khỏi Trái Đất? Đến khi drama lên tới đỉnh điểm, bay thẳng lên top 1 Hacker News với hơn 1200 điểm, thì Mounir mới trồi lên đăng một bài "Project Update". Hóa ra đ*o có thuyết âm mưu nào cả, lão chỉ gặp vấn đề nghiêm trọng về sức khỏe và gia đình nên không có thời gian cày code nữa. Hiện tại lão đã ổn và hứa sẽ sớm ra bản release mới.
Cái thread update này làm bùng nổ đủ mọi luồng ý kiến. Lội comment trên HN thì thấy rõ 3 phe:
Tóm cái váy lại, vụ này là một cái tát lật mặt cho các tập đoàn nghìn tỷ đang xài chùa Open Source.
Chúng ta đang xây dựng các hệ thống bảo mật, deploy trên các máy chủ đắt tiền, nhưng nền móng cốt lõi lại phụ thuộc vào sự rảnh rỗi và sức khỏe của MỘT lão dev không nhận được đồng lương nào. Sự vô lý này đã lặp đi lặp lại từ vụ Log4j, xz-utils, và giờ là VeraCrypt.
Bài học sinh tồn cho anh em dev:
Nguồn hóng hớt:
