Doanh nghiệp cũng đi ăn cắp code, vấn đề nhức nhối của làng lập trình

Patrick Warlde là một chuyên gia về mã độc trên máy tính Mac và những dòng code của ông đang được sử dụng phổ biến tới nỗi ông không thể tưởng tượng được.

Là một cựu nhân viên của NSA và NASA, Wardle còn sáng lập ra Objective-See Foundation: một tổ chức phi lợi nhuận chuyên tạo ra các công cụ bảo mật cho macOS.

Điều này đồng nghĩa với việc rất nhiều code phần mềm của đang có sẵn để tãi xuống và dịch ngược. Thậm chí, một số dòng code của ông tốt tới nỗi lọt vào mắt xanh của các công ty công nghệ và họ đã sử dụng chúng mà không có sự cho phép của ông.

Các nhà nghiên cứu nhận thấy rằng, trong những năm qua, code được viết bởi Wardle và được phát hành dưới dạng mã nguồn mở đã được đưa vào một số sản phẩm thương mại. Tất cả những dòng code ấy đều không ghi nguồn (credit) hay được cấp phép và trả tiền cho tác giả của nó.

Bản thân Wardle có cả kỹ năng trong việc đảo ngược code phần mềm nên ông dễ dàng xác định được những hành vi đánh cắp code. Tuy nhiên, các lập trình viên khác không am hiểu kỹ năng dịch ngược sẽ gặp khó trong việc phân biệt code bị đánh cắp hay chỉ là bị sử dụng một cách ngẫu nhiên.

"Tôi có thể phát hiện ra những vụ ăn cắp code vì tôi viết được cả phần mềm và công cụ đảo ngược code phần mềm. Nhưng số người có thể làm được như tôi là không nhiều. Do tôi nắm rõ cả hai lĩnh vực này nên tôi biết điều gì xảy ra với code của mình nhưng các lập trình viên khác lại không làm được điều đó, đó là điều đáng lo ngại", Wardle chia sẻ với The Verge.

Những vụ trộm code là lời cảnh tỉnh về tình trạng bấp bênh của mã nguồn mở, vốn là nền tảng của những phần khổng lồ của internet. Các nhà phát triển nguồn mở thường cung cấp sản phẩm của họ trong các điều kiện cấp phép cụ thể. Nhưng vì code thường đã được công khai nên có rất ít biện pháp bảo vệ chống lại những nhà phát triển vô đạo đức muốn lợi dụng công sức của mọi người.

Ví dụ, gần đây ứng dụng Truth Social được Donald Trump hậu thuẫn bị cáo buộc là đánh cắp rất nhiều code từ dự án nguồn mở Mastodon. Người sáng lập Mastodon thậm chí đã đâm đơn kiện.

Trong vụ của Wardle code của phần mềm OverSight bị đánh cắp nhiều nhất. OverSight là một cách để kiểm tra xem có bất kỳ ứng dụng macOS nào đang lét lút truy cập micro và webcam hay không. Công cụ này không chỉ hiệu quả trong việc phát hiện các mã độc đang theo dõi người dùng mà còn giúp khám phá ra sự thật rằng các ứng dụng như Shazam luôn nghe ngóng người dùng ở chế độ chạy nền.

Để tạo ra OverSight, Wardle đã sử dụng kết hợp các kỹ thuật phân tích nên kết quả là tạo ra những dòng code bất thường, duy nhất trên thị trường.

Nhiều năm sau khi OverSight được phát hành, Wardle đã rất ngạc nhiên khi thấy một số ứng dụng thương mại đang sử dụng những dòng code của ông, sao chép từ đầu đến cuối, thậm chí tới bug cũng giống.

Ba công ty đang lấy code của Wardle đưa vào sản phẩm thương mại của họ. Wardle không tiết lộ tên của ba công ty này bởi ông vẫn tin rằng việc đánh cắp code có thể xuất phát từ các cá nhân lập trình viên chứ không phải chiến lược từ trên xuống của các công ty.

Khi nhận được phản hồi, cả ba công ty đều có các phản ứng tích cực. Họ thừa nhận rằng code của Wardle đã được sử dụng trong các sản phẩm của họ mà chưa được sự cho phép. Cuối cùng, tất cả đều đồng ý trả tiền trực tiếp cho Wardle hoặc quyên góp cho Objective-See Foundation.

Đánh cắp code là một thực trạng đáng buồn và bằng cách gây sự chú ý đến vấn đề này Wardle hy vọng rằng sẽ giúp cả nhà phát triển lẫn doanh nghiệp bảo vệ lợi ích của họ. Đối với các nhà phát triển, Wardle khuyên mọi người nên có suy nghĩ rằng code của mình (dù đóng hay mở) rồi sẽ có ngày bị đánh cắp. Do đó, họ nên áp dụng các kỹ thuật để giúp phát hiện việc này.

Đối với các doanh nghiệp, Wardle khuyên họ nên hướng dẫn nhân viên tốt hơn về các khuôn khổ pháp lý xung quanh việc thiết kế ngược một sản phẩm khác để đạt được lợi ích thương mại. Và cuối cùng, Wardle hy vọng cộng đồng lập trình nên ngừng ăn cắp code của nhau.