Caso xz, caso moq... El Open Source es Insostenible

00:00

Bienvenidos a todos a un nuevo vídeo

00:01

para el canal en el que vamos o en el

00:04

que voy a dar mi opinión sobre el estado

00:07

actual de Open source por supuesto

00:09

cualquiera que tenga una opinión sobre

00:11

Open source lo podéis dejar abajo vale

00:12

en los comentarios por supuesto ya

00:14

sabréis que yo siempre leo todo así que

00:16

vamos a ir al lío no lo primero de todo

00:18

es ver qué es open source open source no

00:21

deja de ser código abierto vale si

00:23

traducimos como tal es código abierto lo

00:25

que significa que nuestro código está

00:28

disponible en internet para que la gente

00:30

lo vea lo lea lo modifique si quiere o

00:34

lo inspeccione o haga lo que exactamente

00:36

quiera con él vale simplemente está

00:38

disponible para ser visto no voy a

00:40

entrar mucho más en detalle porque

00:41

entiendo que a estas alturas todo el

00:42

mundo sabe lo que es Open source pero

00:44

tener una comunidad tan grande como la

00:46

que tenemos hoy en día en internet

00:48

mayoritariamente en giop de Open source

00:51

es increíble y es muy bueno porque tener

00:54

esta comunidad lo que hace es que

00:56

nuestras aplicaciones son o son vistas

00:58

por muchísima más gente lo que hace que

01:01

tengamos muchísimos más ojos para

01:03

controlar que no haya problemas y no

01:04

haya fallos y o Bugs vale como nota

01:08

final mencionar que código libre no

01:10

significa código gratuito todos estos

01:13

códigos están sujetos a una licencia la

01:16

gran mayoría son gratuitas permiten el

01:18

uso y distribución y sin y no sabes sin

01:22

tener que pagar y sin tener que hacer

01:23

nada pero bueno Esto lo dejamos ahí por

01:25

ahora por qué quiero hablar del Estado

01:28

vale del estado en el que está el código

01:30

abierto bueno en los últimos meses hemos

01:34

sufrido varias cositas con lo que viene

01:38

siendo Open source la primera que vimos

01:40

fue en agosto de 2023 vale que hará Pues

01:44

eso pues medio año en donde el autor de

01:47

la librería mock hizo un cambio que en

01:50

mi opinión no fue mal modificado pero

01:53

entiendo el motivo

01:54

y si bien no comparto la forma en la que

01:56

se hizo no me parece mal lo que hizo

01:58

vale vale Este cambio básicamente fue en

02:01

una librería moc que es para hacer

02:03

dobles de Test que en este canal hemos

02:04

visto tres vídeos y yo personalmente

02:06

sigo utilizando vale para añadirle una

02:10

dependencia a una librería llamada

02:12

sponsor link que básicamente cogía de

02:15

tus git vale de git credentials cogía el

02:18

email y lo enviaba a la appi de sponsor

02:21

link con en un Hash no y luego basándote

02:23

en ese has la appid sponsor link le

02:25

devolvía si esa persona soportaba o

02:28

ayudaba o con colaboraba con la

02:31

aplicación y si no pues en el build Time

02:32

no te ponía un mensajito de por favor

02:34

colabora no sé qué no sé cuántas vale

02:36

Vale cuando esto pasó Se montó la de

02:39

Dios en internet vale se montó la de

02:42

Dios todos los youtubers o bueno todos

02:45

no vale muchísimos youtubers empezaron a

02:49

subir vídeos de tienes que quitar mooc

02:52

ya porque está violando tu privacidad

02:54

vamos a ver calma aquí todo el mundo

02:56

vale que no es tan grave lo que ha

02:58

pasado además eh además lo que se hizo

03:02

fue se hizo un revers de este cambio y

03:03

luego se modificó sponsor link y se

03:05

volvió a poner Entonces ahora tienes

03:06

como una funcionalidad no de que si la

03:07

tienes activada Envía tu email y si no

03:09

pues no vale pero básicamente lo que

03:13

esta situación nos dio fue aparte de

03:15

todos los clickbaits de Internet del

03:17

mundo vale Y todos los dramas del

03:20

universo lo que nos mostró fue la

03:23

dependencia que tenemos nosotros o las

03:27

empresas principalmente porque al final

03:29

un usario normal pues bueno Vale pero

03:31

las empresas principalmente en código

03:34

abierto lo que lo que el autor de moc

03:37

buscaba era simplemente tener unas pocas

03:39

colaboraciones más sacarse un dinerillo

03:42

extra que en verdad yo tengo un canal de

03:44

YouTube vale Yo tengo un canal de

03:45

YouTube y una web os puedo decir yo para

03:47

lo que da el dinerillo extra el

03:48

dinerillo extra da para un par de cenas

03:51

al mes o una cena al mes Con tu parienta

03:55

vale Para eso da el dinerillo extra Vale

03:58

pues seguramente est persona buscaba

04:00

sacarse un dinerillo extra porque tiene

04:02

la librería de pun net más popular de

04:05

Test vale la tiene él vale Y se Estaba

04:08

sacando cerca de 0 eur al mes por algo

04:12

que utiliza el yo que sé cuánto

04:15

porcentaje Cuántas empresas tendrán pun

04:17

net vale a lo pongamos que el 20% de

04:20

empresas del mundo tienen punto net vale

04:22

de ese

04:23

20% un 30 o

04:27

40 utiliza el mooc Vale entonces las

04:32

empresas que utilizan mooc facturan

04:34

miles de millones de euros o de dólares

04:38

pero aportan cero entonces lo que esta

04:40

persona buscaba

04:42

era intentar convencer a los

04:44

desarrolladores que en mi opinión no

04:46

Debería ser esa la solución pero ya lo

04:48

veremos luego para donarle un poco y tal

04:51

lo cual es justo vale Yo no lo no lo veo

04:54

mal este fue el primer caso vale un

04:58

desarrollador que lleva desarrollando su

05:00

software durante años y que lo que busca

05:03

es un poco de un poco de dinero vale que

05:06

tampoco O sea que te qu too el mundo

05:07

trabaja por dinero punto final y luego

05:09

tenemos el caso reciente que acaba de

05:11

ocurrir sobre la librería xz de Linux

05:15

bien este caso es diferente vale No es

05:17

que el desarrollador esté buscando

05:19

dinero pero ahora veremos qué es lo que

05:22

ha pasado vale Eh Esto ha sucedido ahora

05:25

vale finales de marzo principios de

05:26

abril del 24 y como digo el motivo no es

05:29

lo mismo pero yo creo que el Root Cos es

05:32

exactamente el mismo y esta librería es

05:35

muy popular de hecho es tan popular que

05:37

viene instalada por defecto en devian en

05:39

fedora en arch Linux en Linux mint en un

05:43

montón de distribuciones de Linux y

05:46

además todos estos que se la todo el

05:49

mundo que se la pueda instalar

05:50

manualmente vale Esto hace que este

05:53

problema sea mucho más gordo de lo que

05:56

parece Porque este problema o este hack

05:58

no llegó a produc cción de milagro no

06:00

voy a entrar mucho en detallle sobre el

06:02

tema vale os dejaré un enlace abajo

06:04

bueno en el blog tendréis un enlace al

06:06

link de ars técnica sobre lo que ha

06:09

pasado pero yo me encentro me voy a

06:11

centrar en este vídeo en lo que viene

06:12

siendo alrededor de dicho vor vale Este

06:15

backdoor pasó a producción en la

06:17

librería xz a producción vale a una

06:19

versión estable en la librería xz porque

06:23

los los que mantienen dicha librería el

06:25

creador y los que le le acompañan son

06:27

básicamente personas normales como tú y

06:29

como yo que estamos trabajando nuestro

06:31

horario de de 9 a 6 o de 9 a 5 y En

06:34

nuestro tiempo libre después de haber

06:36

estado con la familia y después de haber

06:38

hecho todo se lo dedicamos al Open

06:41

source o en mi caso se lo dedico a

06:43

YouTube vale ellos se lo dedican al Open

06:45

source esta gente no está pagada por

06:47

nadie vale por lo tanto lo hacen por

06:49

amor al arte qué es lo que pasa que

06:52

reciben un montón de mensajes un montón

06:54

de peticiones un montón de de haz esto

06:57

haz esto porque lo necesito Vale y lo

06:59

van haciendo y al final pues se acaban

07:02

quemando Entonces teníamos a este actor

07:05

malicioso hacker contribuyente llámalo

07:08

como quieras que no se sabe quién es

07:09

vale que llevaba ganándose la confianza

07:11

desde 2021 vale desde 2021 iba haciendo

07:15

contribuciones iba ayudando al proyecto

07:17

pero en los últimos meses ha metido un

07:21

un Script Bueno vamos a resumirlo vale

07:24

ha metido un Script donde pasa por ahí y

07:28

se ejecuta una

07:30

Y la verdad es que nadie sabe aún vale

07:32

nadie sabe aún qué es lo que hace dicha

07:33

vor solo se sabe que hay hay código que

07:35

no debería estar este código pasó a

07:38

producción porque esta persona estaba e

07:43

confiada vale era porque los

07:45

administradores o Dueños del de la de la

07:48

aplicación xz confiaban en esta persona

07:51

vale la confiaban tanto que es en plan

07:53

Vale has hecho aquí un un comit con

07:55

binario no sé qué no me voy a mirar lo

07:57

que hace el binario Pero vale veo que

07:59

Está bien Tú eres el experto en

08:00

matemáticas o en lo que sea y está bien

08:03

ver dedito arriba veo que lo que la

08:05

parte normal está bien porque el hack en

08:07

sí estaba en la parte de los tests vale

08:09

los test inyectaban código en en el en

08:11

el

08:12

actual en el proyecto de de como tal

08:16

Vale

08:17

entonces esto pasó básicamente porque no

08:20

tenían a una persona o nadie trabajando

08:24

full time ahí vale porque si tú haces

08:28

código abierto y alguien te hace una PR

08:30

y el código vale gastas tiempo en la PR

08:33

el código está bien y miras los test y

08:35

los test a simple vista parecen que

08:38

estás bien corres así los corres en tu

08:39

máquina vale está bien no sé qué no te

08:42

vas a parar a ver si la variable del no

08:44

sé qué del test está bien porque no

08:46

tienes tiempo porque esto no es el

08:47

trabajo porque esto lo hacemos por amor

08:49

al arte y ya está y así es como se ha

08:51

colado vale se ha colado por eso el el

08:54

administrador de xz ya comentó hace un

08:56

tiempo que llevaba un tiempo como de

08:58

burnout y que estaba siendo muy duro y

09:01

me imagino que esto lo acabará lo

09:02

acabará destrozando vale Así de claro

09:05

mentalmente lo tendrá destrozado

09:07

respecto a este hack simplemente

09:08

terminar con con decir o indicar que

09:11

hemos tenido mucha suerte porque fue un

09:12

desarrollador de Microsoft con una

09:14

versión preview de devian El que se dio

09:17

cuenta de que haciendo performance test

09:19

de postgress sql Bueno yo que sé de lo

09:22

que fuera de postgress sql se dio cuenta

09:24

que había cosas que tardaban más de la

09:26

cuenta vale tardaba medio segundo más de

09:27

la cuenta y entonces se puso investigar

09:29

y se dio cuenta de dónde estaba la

09:31

backdoor y es cuando ha explotado todo

09:32

en internet que como digo no voy a

09:34

explicar porque habrá miles de vídeos a

09:35

estas alturas ya con lo que ha pasado

09:38

vale donde me quiero centrar yo hoy o

09:42

donde o el motivo principal para este

09:44

vídeo es la sostenibilidad del código

09:47

abierto ambos problemas tanto el de moc

09:50

como este han venido por el mismo motivo

09:53

porque los desarrolladores trabajan sus

09:55

8 horas en una empresa y lo que hacen

09:59

para Open source lo hacen en su tiempo

10:01

libre en el primer caso el problema o el

10:04

drama que vino a raíz de lo de moc era

10:06

para ganar algo de dinero Dios le

10:08

perdone eh por querer algo ganar algo de

10:10

dinero y el segundo es porque estaban

10:13

burnout y hasta hasta arriba de de cosas

10:15

que hacer vale ambos casos tienen el

10:21

mismo problema de fondo en mi opinión

10:23

que viene siendo que tienen un trabajo

10:26

normal y que no tienen más horas el día

10:28

no tiene más horas para para dedicarle a

10:30

Esto vale Y ya está y aquí Vino mi

10:32

opinión y es que Open source tal y como

10:34

lo hacemos hoy en día es completamente

10:37

insostenible y esto lo vivo yo en mis

10:39

carnes vale Todas las semanas Cuando

10:42

digo todas las semanas es Todas las

10:44

semanas y alguna vez más de una vez

10:47

recibo mensajes diciéndome o mensajes de

10:50

no gente que me pregunta que si alguno

10:51

me preguntéis con dudas yo las respondo

10:53

sin ningún problema vale Pero hay gente

10:56

que que me me empieza Oye podrías hacer

10:58

un vídeo de yo que sé cómo implementar

11:01

login con certificado digital es que lo

11:04

queremos implementar en mi empresa y no

11:05

sé cómo hacerlo o no sabemos cómo

11:07

hacerlo y es en plan

11:10

e sabes yo lo hago Pero te voy a cobrar

11:14

las horas Aquí está aquí está la factura

11:16

yo si quieres te lo hago pero aquí está

11:17

la factura y te voy a cobrar las horas y

11:20

ahí o desaparecen o me dicen Oh no no

11:23

esto te daría mucha visibilidad y

11:25

deberías hacerlo no sé qué y no sé

11:26

cuántas y es en plan anda a tomar por el

11:28

culo vale en plan Yo hago lo que hago en

11:33

YouTube Porque a mí me gusta y porque

11:34

quiero compartir el conocimiento ahora

11:36

si tú vienes a pedirme que haga x y z

11:39

Espera a que te pida algo a cambio o sea

11:42

vamos a ver las cosas como son y

11:44

básicamente en el mundo pens source pasa

11:46

Exactamente lo mismo tenemos gente que

11:48

crea librerías utilizadas por miles de

11:51

personas y miles de empresas que las

11:53

empresas directamente van y les piden

11:55

que cambien cosas por la cara vale por

11:57

la Face esto también paso al al de cómo

12:01

se llama tío pondré un pondré un

12:04

screenshot aquí al de

12:06

ffm p i o p vale que es la librería que

12:12

utiliza teams para los vídeos vale o sea

12:16

tú cuando utilizas teams no sé si es

12:19

para el vídeo o para las llamadas como

12:20

tal utiliza esta librería por detrás

12:22

vale esta librería Open source por lo

12:24

tanto el dueño gana

12:27

c y hace un tiempo

12:29

hizo un cambio o bueno hizo un cambio y

12:33

básicamente para los subtítulos había

12:35

que cambiar el el orden o no sé qué de

12:37

los comandos que había que pasar bueno

12:39

alun alguna cosa así similar vale

12:41

alguien de Microsoft le contactó y le

12:43

dijo que bueno pues eso que había pasado

12:44

este book No sé no sé cuántos vale todo

12:46

explicado Cómo replicarlo etcétera

12:48

superb y al cabo de unos días le volvió

12:50

a contactar que si lo estaba mirando

12:51

porque esto era prioridad máxima V

12:54

porque la aplicación dependía de ello

12:57

entonces a este punto tú llegas y te

12:58

paras Y dices cómo que prioridad máxima

13:01

Cómo queé prioridad máxima para tu

13:03

empresa Bueno pues si quieres prioridad

13:04

máxima tendrás que pagar sí que es

13:07

cierto que al final eh Microsoft le

13:08

ofreció un pago único por lo visto y el

13:12

chico pues no estaba muy contento con

13:13

eso vale pero eh básicamente esto viene

13:17

a lo siguiente si es prioridad máxima

13:19

para tu empresa tienes dos opciones una

13:22

coges y coges a ese tío y lo contratas

13:24

vale full time y le dices tú a partir de

13:26

ahora vas a trabajar aquí con esto y lo

13:29

vas a hacer o Open source o solo para

13:32

Nuestra Empresa vale lo que quieras

13:34

porque es tu empleado y al final es

13:36

código que tú pagas la otra coges a un

13:39

tío que trabaja para ti y lo pones con

13:41

él y le dices tenemos este problema voy

13:45

a estar trabajando yo en esto tú no te

13:46

preocupes pero a lo mejor te pregunto

13:48

dudas Por qué no hacen eso estamos

13:50

hablando de Microsoft Microsoft que

13:51

encima Tiene la Net foundation que da

13:54

perras a un montón de librerías super

13:56

famosas para poder mantenerlas y que

13:58

esta gente no se queme y que pueda

14:00

dedicar cierto tiempo a las librerías

14:03

Vale entonces yo creo que aquí

14:05

simplemente dio la casualidad que fue un

14:06

empleado que por cierto pidió las cosas

14:08

bien vale No quiero aquí meterme ni con

14:09

el empleado ni nada simplemente ha dado

14:12

la coincidencia de que a raíz del xz

14:14

esto lo que ha pasado esta persona

14:16

también puso lo que le pasó De hecho fue

14:18

hace el año pasado Vale entonces eh

14:20

simplemente ha compartido eso y me

14:21

parecía interesante compartirlo y es en

14:23

plan tu empresa tiene un trillón de

14:26

dólares tío Pon a una persona con él

14:29

arregla el problema y ya está sabes él

14:32

no te va a pedir nada vale No te va a

14:35

pedir nada a cambio Si pones a una

14:36

persona no te va a pedir nada encima lo

14:38

agradecerá seguramente así que por un

14:40

lado tenemos a desarrolladores

14:42

independientes que en su tiempo libre

14:43

hacen código que es una pasada que es

14:47

utilizado por el otro lado que son

14:49

empresas multimillonarias que no aportan

14:52

absolutamente nada a los primeros y

14:54

usted un día va a explotar y mi opinión

14:56

es o lo que yo pienso que se debería

14:59

hacer es un cambio de licencias ya que

15:02

esta será la única opción de que esto

15:05

sea sostenible a largo plazo

15:07

principalmente para los desarrolladores

15:09

de software de código abierto vale

15:11

porque uno de los grandes problemas del

15:13

código abierto es que prácticamente

15:15

nadie se puede dedicar a él y los únicos

15:18

que se pueden dedicar a él son los que

15:20

están contratados por empresas grandes

15:22

que por el motivo x y z que sea vale

15:26

están Están Pues eso eh ahí es un caso

15:31

un ejemplo muy común es Microsoft todo

15:34

su código es código abierto y pero todo

15:37

el equipo de del runtime etcétera

15:40

trabaja para Microsoft vale porque al

15:42

final a ellos les interesa porque

15:44

Obviamente si trabajan para ellos van a

15:46

estar trabajados centralmente en el

15:47

lenguaje pero el lenguaje a veces de

15:50

código abierto Así que cualquiera puede

15:52

modificarlo no se lo exigir a nadie pero

15:54

si alguien quiere ir y arreglar cosillas

15:56

Pues sabes en verdad es es es tu tiempo

16:00

lo que yo pienso que se debería de hacer

16:02

es lo siguiente ahora mismo tenemos

16:05

muchas licencias que si el meid que si

16:06

Apache que si no sé qué que todas estas

16:08

son en plan puedes utilizar mi software

16:09

de forma gratuita es de libre

16:11

distribución bla bla bla bla bla bla yo

16:14

pondría otra la de por defecto yo la

16:16

haría puedes utilizar mi código libre

16:18

pero una vez pasas un millón de dólares

16:21

de facturación tienes que pagar x dinero

16:23

yo que sé 1,000 vale a partir de los del

16:26

millón de dólares que tú facturas por

16:29

usar mi software tienes que pagar 000 y

16:32

punto y vas a decir Oh pero eso no lo

16:35

vas a hacer con todas las librerías Y

16:37

dices No pues sí pues claro vale todas

16:40

las librerías que utilizas a partir de

16:43

ahora con licencia de si cobras si

16:45

generas más de un millón de euros de

16:47

revenue vale No de beneficios vale sino

16:49

antes de pagar impuestos y todo

16:52

eso tú coges y a pagar 1000 por por por

16:57

librería yo Esa es la solución que

16:59

pondría y vas a decir Oh pero eso es muy

17:00

caro nadie las

17:02

utilizaría y y ahora viene la cosa

17:04

graciosa nadie las utilizaría en serio o

17:07

sea cuánto dinero Cuántas librerías

17:09

tienes tú instaladas en cualquier

17:11

aplicación Cuántas Vale pues de todas

17:14

esas Imagínate que necesitas gente para

17:17

mantenerlas y necesitas gente para

17:21

programarlas como tal desde el principio

17:23

es

17:25

imposible es Es inviable que básicamente

17:28

una empresa que genera un millón de

17:30

euros contrate suficientemente

17:31

suficiente gente o pueda pagar a

17:33

suficiente gente como para mantener

17:35

todas las librerías que utilizan pero sí

17:38

que pueden por ejemplo eh aportar a

17:41

librerías de código abierto que muchas

17:44

de estas librerías son dueñas de

17:46

empresas o sea muchas empresas son

17:48

dueñas de estas librerías Por ejemplo yo

17:50

que sé eh Apache vale la librería de

17:54

kafka de conectarte a kafka y de enviar

17:56

mensajes y recibir mensajes esa librería

17:58

es de apach esa librería no te va a

18:00

pedir que 1000 vale porque esa librería

18:03

quiere que consumas Apache y le pagues

18:05

el servicio vale por lo tanto esa

18:07

librería pes ser Open source el incom

18:10

principal de la empresa no es la

18:12

librería como tal sino que es el soporte

18:14

O sea la librería es como un un extra

18:17

que te dan gratis para que puedas

18:19

utilizar su software donde ganan el

18:20

dinero de verdad Entonces todas estas

18:23

empresas que son así seguirían igual

18:26

seguirían teniendo su código libre pero

18:28

tenemos a la autor de mooc al autor de

18:30

fiki tii al de m substitute el de xz que

18:33

no da nada el de yo que sé el de cientos

18:36

de librerías que tenemos el de Po bueno

18:37

po ahora está en la Net foundation Así

18:39

que técnicamente parte de la Net

18:41

foundation vale Pero bueno todas estas

18:43

librerías populares que tantísima gente

18:45

utiliza pero que son mantenidas y

18:48

desarrolladas por gente en su tiempo

18:50

libre que ganarían un poquito de dinero

18:53

que tampoco sería mucho no penséis que

18:55

aquí nadie se va a hacer gratis y además

18:56

ganarían dinero que la empresa se puede

18:59

desgravar O sea que que no no es ni

19:01

tantísimo dinero vale puedes decir que

19:03

habrá empresas que se salten las

19:04

licencias pero en mi experiencia nadie

19:07

se salta licencias vale en los países

19:09

iba a decir serios pero yo he trabajado

19:12

con varias empresas en Estados Unidos en

19:14

Europa ni Dios se salta una licencia

19:17

porque como te pillen la multa es muy

19:19

gorda entonces este tipo de licencias o

19:22

bien dejarías de utilizar el software

19:24

Que dirías sí tenías la competencia Sí

19:26

hasta que la competencia haga lo mismo

19:28

hasta que la competencia haga lo mismo y

19:30

necesites un equipo en tu empresa para

19:32

montar una librería de moc y no te salga

19:34

rentable porque es más barato pagar 1000

19:36

y punto

19:37

vale Así que eso Esta es mi opinión eh

19:41

cualquier opinión que tengáis la podéis

19:42

dejar abajo si os ha gustado sab un buen

19:43

like suscríbete y todo eso Si os ha

19:45

gustado mucho mucho os podéis hacer

19:47

miembros Premium del Canal que dejaré

19:48

también en la descripción en enlace o en

19:50

el comentario fijado eso ha sido todo un

19:53

saludo

19:55

[Música]

19:57

adiós

20:02

[Música]

20:15

ah