לא מזמן, התבקשתי לסייע באיזשהו פרוייקט אצל חברה, מהמובילות בתחומה במשק הישראלי.

כחלק מאותו פרוייקט, היתה גם הקמה של מערכת מסויימת של חברה מוכרת מאד בשוק הישראלי.

אישית, סייעתי בהקמה של השרת , ואכן הוא הועבר לאחריות של אותו ISV (שמו לא מתפרסם על מנת לתת לו את הזמן לתקן את הדרוש תיקון ועל מנת למנוע פגיעת שרשרת בלקוחות אחרים שלו ).

היום, פנה אותו יצרן תוכנה ללקוח , בטענה שיש לו בעיות בשרת (לדוג': הוא לא הצליח בעזרת הפקודה date להגדיר שעה נכונה ) , ולמעשה הוא סיים את תפקידו .

במסגרת הרצון שלי לסייע, הצעתי לו לכוון NTP , והוא ענה שאין זה בתחום האחריות שלו .

ברור, שלנגד עיניי, עמדה טובת הארגון בו הקימו את השרת , וביקשתי להתחבר מרחוק על מנת לסדר את העיניין .. ואז חשכו עיניי , שערי נשר, עורי הפך אפרפר ועיניי קפצו להם מארובותיהן.

הדבר הראשון שבלט לעיניי היה של root אין history .. מסתבר שחברת האפליקציה (שהיא זו שהתקינה את השרת שלהם ) , מוחקת את ה history על מנת שהלקוח שלהם לא יידע מה עשו במערכת …. פעם ראשונה שאני רואה שחברה מסתירה מהלקוח שלה מה הם עושים על השרתים שלו .

זה שהם (חברת האפליקציה) רצו להשאיר את פורט 10000 פתוח (webmin ) – מילא . אני אישית לא חושב שצריך להשאיר אותו , אבל מכוון שאני כן מבין שלא כולם אנשי לינוקס בחברות השונות, אם שירות זה נשאר פתוח יש להגביל אותו רק לגישה מכתובת ה IP של המכונה של מנהל הרשת האחראי על השרת , וכמובן להפעיל אותו עם SSL  .

אבל .. נבנו שם כ 50 משתמשים – ממתי צריך 50 משתמשים על מנת להריץ אפליקציה ?

לאותם 50 משתמשים יש גישת shell למערכת .. (! ) ממש נפלא ..

פתחו להם ftp server – לא ברור לי למה , כי מראש הבעתי את התנגדותי לקיומו של ftp וכתבתי להם בטרם השרת הועבר אליהם שבמקום ftp יואילו המכובדים לעבוד עם sftp (בסה"כ אם הם עובדים מ windows זה מצריך מהם להתקין אצלהם את winscp ) – הכל כדי שללקוח יהיה שרת שגם עובד וגם לא משמש נקודת פריצה לרשת הארגונית ..

לפתע , הרגשתי כאילו אכלתי סברס עם הקליפה והקוצים , שומו שמיים , על המערכת הותקן telnet server .

אישית , לא התקנתי telnet server מתחילת שנות ה 2000 , מבחינתי , האופציה של להפעיל telnel כלל לא קיימת ..

טוב אז מחקו את ההיסטוריה, אבל את הלוגים , לא מחקו , ואת בסיס הנתונים של last ו- lastb לא מחקו .. בדיקה מהירה העלתה, שככל הנראה בגלל "נוחות" של מישהו , לא רק שהתקינו telnet גם איפשרו התחברות שלו מרחוק .. ולא רק שאיפשרו את הדבר הזה – אפילו התחברו מרחוק, ולא רק זה , אלא השאירו אותו פתוח לאורך תקופה ! .

רק כדי לסבר את האוזן , מדובר בשרת פנימי בארגון , כלומר , ביצעו מעקף של ה firewall וה DMZ , ובאמצעות port forward העבירו הכל היישר אל השרת החדש .

בקיצור , חברה בישראל , לא צריכה האקרים /קראקרים , ספקי התוכנה שלה הם אלו המנקבים לה את הרשת .

למי שלא מבין את המשמעות , כל מי שנמצא ב subnet של ה ISP שממנו התחברו והפעיל סניפר , או כל מי שנמצא ב subnet של ה ISP של החברה שבה עשו את הפרוייקט והפעיל סניפר – יודע עתה את שמות המשתמשים במערכת ואת הסיסמאות שלהם .

כל מי שביצע סריקט פורטים אקראית .. יכול למצוא את השרת הבעייתי הזה (ואז להפעיל סניפר ).

בשלב הזה , אני אישית התנתקתי מהשרת והודעתי לחברה שבה בוצע הפרוייקט שאני ממש חושש מהמצב, ושאינני יכול לעבוד ככה . כמובן 2 אדוולים על מנת להרגיע את כאב הראש שתקף אותי .. כי כאלה דברים , כזה זילזול בלקוח שלהם .. לא ראיתי המון זמן .

ולמה אני כותב את כל זה … אם יש לכם אפליקציה של חברה ישראלית , שרץ על לינוקס, אנא , תדאגו שמישהו ייכנס אל המערכת , יריץ netstat -Nap ויבדוק מה פתוח על השרת …

עם כאלו חברות אפליקציה, מזל שעדיין יש ארגונים שמשתמשים בלינוקס .

ובעיניין של החברת אפליקציה , אם הם ימשיכו לעבוד בצורה הזו , לא תהיה לי ברירה אלא לפרסם את שמם . כי מי שעשוי להיפגע מכך זה לא הם .. הם יסירו מעצמם כל אחריות – אלא אתם .

אם אתם בדיוק חושבים לרכוש אפליקציה עסקית תוצרת ישראל .. אנא שלחו לי מייל וספרו לי , אם תקבלו ממני תגובה מאד ידידותית – אתם אולי במקום טוב, אם תקבלו תגובה קרירה ורשמית .. בדקו ב 7 עיניים מה עושים לכם בשרתים . בעצם .. תמיד תבדקו ב 7 עיניים מה עושים לכם בשרתים .

הפוסט הזה הינו בתגובה לשאלות שמעלה רפאל פוגל בפוסט שהוא פרסם כאן .

מצויין שפוגל מעלה את התהיות שהוא מעלה, אך לדעתי השאלה כלל אינה "האם משתלם להשקיע בקוד פתוח" , אלא "האם יש לחברות הללו טכנולוגיה אמיתית, ומודל עסקי כלשהוא" .

השימוש בקוד פתוח, אינו המבדל בין הנפקה או מכירה מוצלחות לבין לא מוצלחות, השאלות המהותיות יותר הן האם החברה מביאה איתה חדשנות, יצירתיות, מודל עסקי מסודר … היותה של תוכנה תחת רישוי קוד פתוח אינו מהווה את הנקודה המרכזית. ובזאת מר פוגל ומי שהוא כ"אנליסטים, משקיעי הון סיכון ויזמים" – טועים.

בדוגמאות שציין פוגל בפוסט שלו הוא השתמש בדוגמה של JBoss , XenSource ועתה MySQL ….

אם שאלותו של פוגל נכונה, הרי שהתשובה עליה היא כן. שווה להשקיע בקוד פתוח. המציאות מוכיחה שניתן להרוויח מכך.

אבל, אם נבחן את הדוגמאות הרי שנגלה שהדברים אינם כפי שהם נראים .. לדוגמה:

XenSource נמכרה ל Citrix , האם מדובר ב"קוד פתוח" – התשובה אינה חד משמעית ויוסבר, נכון ש Xen מפותח כקוד פתוח , ונכון ש Xensource מפתחים על בסיס Xen מוצר מסחרי ומספקים לו את כל השרותים הנלווים – אך המוצר המסחרי אינו "קוד פתוח" .. הוא מוצר קינייני לכל דבר ועיניין  (קיימים בו רכיבים קיניינים אשר מונעים מלהגדיר אותו קוד פתוח) !!!

מה ש XenSource עושים כרגע, הוא שהם לוקחים את המנוע החופשי, מצמידים אליו מערכת ניהול קיניינית (טכנית המערכת עובדת מול שרותים קיניינים שנמצאים בצד השרת ולא ניתן להוציא אותם ) – כך שהסביבה הזו אינה ניתן להגדרה כקוד פתוח, לכל היותר ניתן להגדירה כסביבה היברידית ..

אישית, אני חושב שבמימד העסקי Citrix קפצו מהר מידי ושילמו הרבה מידי , לא בגלל שהטכנולוגיה לא טובה אלא בגלל ש XenSource עדיין לא הצליחה להוכיח עצמה כחברה יציבה לאורך זמן (לא בגלל שהיא מראה סימני עירעור אלא בגלל שהיא חברה צעירה יחסית) .

גם ב MySQL יש דברים דומים (אמרתי דומים לא זהים) , מודל הרישוי של MySQL שונה מהגרסה המסחרית לגרסה החופשית, וכל "צינור הפיתוח" , בהגדרה נשאר בידיים של MySQL .. כלומר מדובר כאן בבסיס נתונים שהוא היברידי במודל שלו ולא חופשי כמו שנוח לחשוב.

בשנה-שנה וחצי האחרונות, MySQL עברו תהליך שדומה לתהליך שעברה Red Hat כאשר היא התחילה למכור את RHEL .. כלומר מודל היברידי שאני לא בטוח שניתן לקרוא לו חופשי ..  קיימים שינויים והבדלים בגרסאות הקינייניות לעומת הגרסאות החופשיות, ובאופן כללי כל מודל העבודה של MySQL AB הינו מודל היברידי.

הרכישות שאותן מציין רפאל פוגל לא היו לפיכך של חברות "קוד פתוח" אלא של חברות שהמודל העסקי שלהן כלל פיתוח של רכיב כזה או אחר בתצורה של קוד פתוח.

מבחינת חברות המפתחות בקוד פתוח, הרי שיש כאן בעיה מסויימת, החברות הללו הדגישו את הצורך לשלב מודל קינייני על מוצר קוד פתוח על מנת לתת ערך מוסף למשקיעים / למי שרוכש את החברה.

עדיין ולמרות הביקורת המרומזת שאותי ניתן לשמוע בדבריי, אני אישית חושב שמודל פיתוח בקוד פתוח יכול להוות מודל עבודה מצליח (ע"ע חברת Red Hat השומרת על היותו של הקוד פתוח גם במוצרים הקינייניים שלה).

(יש עוד לא מעט לומר על הנושא, אבל אני שאמור את זה לפעם אחרת).

- דורון